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Precede, systeme, dispositif destines a prouver Tauthenticite d'une 
entity et/ou rintegrite et/ou I'authenticite d'tin message. 
La presente invention conceme les procedes, les systdmes ainsi que les 
dispositifs destines a prouver I'authenticite d'une entity et/ou rint6grit6 
et/ou I'authenticite d'un message. 

Le brevet EP 0 3 11 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel proc6d6. On y fera ci-apres reference en le 
designantpar les termes : "brevet GQ" ou "proc6de GQ". Par la suite on 
designera parfois par "GQ2", "invention GQ2" ou "technologic GQ2" la 
presente invention. 

Selon le precede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite. appelee " t^moin" et en caleule la signature 
RSA; durant un processus de personnalisation, l'autQiit6*de confiance 
donne identity et signature au temoin. Par la suite,*-le t&noin proclame : 
"Void mon identite ; j'emconnais^Ja signs>t»ne RSt^:' Le temoin prouve 
sans la reveler qu'il connait la signa;ture RSA de son identite.-Grace k la c\€ 
publique de verification«RSA distribute- par**.!' autoratd de«©onfiance, une 
entite appelee "controleur" verifie sans en prendre connaissance que la 
signature RSA correspond k I'identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent "sans transfert de connaissance". Selon le 
precede GQ le temoin ne connait pas la cle privee RSA avec laquelle 
I'autorite de confiance signe un grand nombre d'identites. 
Le procede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concement des nombres ayant sensiblement la 
meme taille eleves a des puissances de I'ordre de 2'^ + 1. Or les 
infirastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de mieroprocesseips-.autD-pr©grammables 
monolithiques dtpourvus de coprocesseurs arithmetiques. La charge de 
travail lite aux multiples operations arithmetiques imphquees par des 
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precedes tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s*avdrent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. H est rappele id, qu'en 
cherchant a accroitre la security des cartes de paiement, les autorites 
bancaires posent un probleme particulierement d^licat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n' entraine des temps 
de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particulier dans la mesure ou, en outre, il convient de tenir compte de 
rinfrastructure en place et des composants microprocesseurs existants. 
La technologie GQ prec6demment decrite fait appel k la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
module n, cette dependance n'est pas une 6quivalence, loin s*en faut, 
comme le demontrent les attaques dites "multiplicatives'* contre les 
diverses normes de signature numerique mettant en oeuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, amehorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour I'entite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace k un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Precede 

Methode des restes chinois appliqu^e a la famille GQ 



Plus particuUdrement, I'invention conceme un proced6 destine k prouver k 
une entity controleur, 

- r authenticity d'une entit^' et/ou 

- rint^grite d'un message M associe a cette entit6. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... Qm et publiques G„ Gj, ... 
G„ (m etant superieur ou egal a 1), 

- un module pubUc n constitue par le produit de f facteurs premiers p„ 

Pj, . . . pf (f etant sup6rieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sent U6s par des relations 

du type : 

G5 . Q,'' s 1 . mod ffl ou G, = Qi^ modn ; 
Ledit proc^de met en oeuvre selon les etapes ci-apres definies une entite 
appel6e temoin disposant des € facteurs premiers Pi et/ou des parametres des 
restes chinois des^facteurs premiers et/ou du module pubUc n et/ou des m 
valeurs privies Q, et/ou des f.m composantes Q,, j (Qi. j = Qi Pj) 
valeurs priv6es Q,et de 1' exposant public v . 

Le temoin calcule des engagements R dans I'anneau des entiers modulo n. 
Chaque engagement est calcule en effectuant des operations du type 

R.sr,''mod p, 

ou rjcst un alea associe au nombre premier p; tel que 0 < Tj < ft , chaque r, 
app^enant a une collection d'aleas {r^ , , ... r,} .puis en appliquant la 
methode des restes chinois, 

Ainsi, le nombre d'operations arithmetiques modulo R effectuer pour 
calculer chacun desNpngagements R, pour chacun des-^, est r6duit par 
rapport a ce qu'il serait si les operations etaient efFectuees modulo n. 
Le temoin re?oit un ou plusieurs defis d. Chaque d^fi d comportant m 
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entiers dj ci-apres appeles defis el6mentaires. Le temoin calcule a partir de 
chaque d6fi d une reponse D, en.effectuant des operations du type : 

I>i = r, . Qi,i Qi^ . . . Qi^ mod r 
puis en appliquant la methode des testes chinois. 

Ainsi, le nombre d' operations arithm^tiques modulo pj k effectuer pour 
calculer chacune des reponses Dj pour chacun des est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le procede est tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, D constituant un 
triplet note (R, d, D}. 

Cas de la preuve de I'authenticit^ d'une entity 
Dans une premiere variante de realisation le procede selon Tinvention est 
destine i prouver I'authenticite d'une entite appelee demonstrateur a une 
entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes 
suivantes: 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. Le demonstrateur transmet au controleur tout 
ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir re9u tout ou partie de chaque engagement R, 
produit des d6fis d en nombre egal au nombre d'engagements R et 
transmet les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifiie ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstrateur transmet chaque reponse D au controleur. 



Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis uae«.^artie de chaque 
engagement R, le contrdleur^ disposant des m valeurs publiques Gj, Gj, ... 
G„, calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstniit R' satisfaisant a ime relation du type : 

R' = G/^ G2 ^. . . . G„ '"^ . mod n 
ou a une relation du type, 

R^ = DVGi . G2 ^. G^^"* . mod n . 
Le controleur verifie que chaque engagement reconstniit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis. 
Deuxieme cas : le demonstrateur a transmis Pint^gralite de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis I'int^gralite de chaque 
engagement R, le contr61eur, disposant des m valem's publiques G|, G29 ... 
Gm, verifie que chaque engagement R satisfait k une relation du type : 

Rs G/^ G2 ... G„ . D^mod n 
ou a ime relation du type, 

R = DV G/* • G2 ... G„ ^™ • mod n , 
Cas de la preuve de I'integrite d'un message 
dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le procede selon T invention est destine a prouver a une 
entite appel^e controleur Tintegrite d'un message M associe a ime entit6 
appelee demonstrateur. Ladite entite demonstrateur comprend le temoin, 
Lesdites entites demonstrateur et controleur executent les etapes 
sxuvantes: 

• 6tape 1 : acte d'engagement R 
A chaque appel, le t6moin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 
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• itspe i : acte de defi d 

Le d6monstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, Le d6monstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir re?u un jeton T, produit des defis d 
en nombre ^gal au nombre d'engagements R et transmet les d^fis d au 
demoristrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de contrdle 

Le demonstratexir transmet chaque reponse D au controleur Le controleur, 
disposant des m valeurs publiques G„ Gj, ... G„, calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant k 
une relation du type : 

R' hGi . Gz'*^. ... G^*^. D^modn 
ou a une relation du type : 

R' = DVGi^^G2^. ...G^*^. modn. 
Puis, le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstrait R' pour reconstruire le jeton T'. Puis, le controlexu: verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticity 

Operation de signature 
Dans une troisidme variante de realisation susceptible d'etre prise en 
combinaison avec Tune et/ou T autre des autres variantes de realisation, le 
procede selon T invention est destine a produire la signature nimierique 
d'un message M par une entite appelee entite signataire. Ladite entite 
signataire comprend le temoin. 
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Ladite entite signataire execute una operation de signature en vue 
d'obtenir un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les r6ponses D. 

Ladite entit6 signataire execute T operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d' engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir xm train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
d'engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

Operation de contrdle 
Pour Tauthenticite du message M, une entite, appelee controleur, controle 
le message signe. Ladite entite controleur disposant du message sign^ 
execute ime operation de controle en procedant comme ci-apres decrit. 
• cas ou le controleur dispose des engagements R, des d^fis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, le contrSleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G/^ G2 . . . G„ ^"^ . mod n 
ou a des relations du type : 
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R = DVG/*.G2*^^.. G„^'". modn 
Puis, le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque r6ponse D, 
des engagements R' satisfaisant a des relations du type : 
R' = G/^ G2 ^. . . . G„ . mod n 
ou a des relations du type : 

R'sDVG/^G2**^...G„^'", modn 
Puis, le controlexir verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstmit d' 

d' = h(M,R) 

Puis, le controleur verifie que les engagements R, les defis d' et les reponses 
D, satisfont a des relations du type : 

Rs G, . G2 ^ ^ ... G„ . mod n 
ou a des relations du type : 

R s DV Gi . G2 ^ ... G„ . mod n. 
Cas ou on choisit la valeur privee Q en premier et oik on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valeurs privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q. Plus 
particulierement dans ce cas, le procede selon T invention est tel que les 
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composantes Q^^ > Qi, 2 > Qi, f valeurs privees Q,^ sent des nombres 
tires au hasard a raison d'une Qomposante Q, j (Qs, j = Qi mod pj) pour 
chacun desdits facteurs premiers Pj. Lesdites valeurs privies Qi peuvent 
etre calculees a partir desdites composantes j , Qi, 2 — Qi, f la 
m6thode des restes chinois. Lesdites valeurs publiques Gj, sont calculees 
en effectuant des operations du type 

Gi^j= Qu^'^^dpj 
puis, en appliquant la methode des restes chinois pour etablir Gj tel que 

Gj . Qi"^ = 1 . mod n ou Gj = Qi'^mod n ; 
Ainsi, le nombre d'operations arithmetiques modulo P| a effectuer pour 
calculer chacun des Gjj pour chacun des pj est reduit par rapport a ce quMl 
serait si les operations etaient effectuees modulo n. 

Avantageusement dans ce cas, le procede selon Tinvention est tel que 
I'exposant public de verification v est im nombre prraoier. On d^mpntre 
que la securite est equivalente a la eonnaissanee de la valeur privee Q, . 
Cas ou on choisit la valeur publique G en premier et ou on dSduit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

ou k est im parametre de securite plus grand que 1 . 

Ladite valeur publique G| est le carre gi^ d'un nombre de base g| mferieur 
aux f factexirs premiers Pi, Pa, Pf . Le nombre de base & est tel que les 
deux equations : 

= gi mod n et = - g|mod n 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
r equation : 

x^ = gj^ mod n 
a des solutions en x dans Taimeau des entiers modulo n. 

Systeme 
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La presente invention conceme egalement un systeme destine a prouver a 
\m serveur controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associ^ a cette entity. 

Cette preuve est 6tablie au moyen de tout ou partie des paramdtres 
suivants ou d6riv6s de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Qm publiques Gj, Gj, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers Pi, 
P25 ••• Pf (f ^tant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs 6tant lies par des relations 
du type : 

G| . Qi'' s 1 . mod n ou G| = Qj^mod n . 
Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'lme carte bancaire 
a microprocesseur. Le dispositif temoin comporte vine zone memoire 
contenant les f facteurs premiers pj et/ou des parametres des restes chinois 
des facteurs premiers et/ou du module public n et/ou des m valeurs privees 
Qi et/ou des f.m composantes Qij (Qjj = Q, mod pj) des valeurs privees Qj 
et de r exposant public v. Le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'al6as du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo Chaque engagement est calcule en 
effectuant des operations du type 

Rj^Fi'^modPi 

ou rjcst un alea associe au nombre premier Pi tel que 0 < Fj < pj , chaque Fj 
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appartenant a une collection d'aleas , , ... rj prodnits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d'operations arithmetiques modulo P| a effectuer pour 
calculer chacun des engagements R, pour chacim des P| est r6duit par 
rapport a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
r^ponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
r6ponse D en efifectuant des operations du type : 

I>i = . . Q^ ^'K ... Qi^ ^"^ mod p, 
puis, en appliquant la methode des restes j^hinois. 

Ainsi, le nombre d'operations arithmetiques modulo pj a effectuer pour 
calculer chacune des reponses Dj pour chacun des pj est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Ledit dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et xme ou plusieurs reponses D, 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constituent un triplet note {R, d, D}. 

Cas de la preuve de I'authenticite d'une entite 
Dans xme premiere variante de realisation le systeme selon Tinvention est 
destine a prouver Tauthenticite d'xme entite appelee demonstrateur k une 
entite appelee contrSleur. 

Ledit systdme est tel qu'il comporte un dispositif^demonstrateiu: associe a 
r entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion, n peut se presenter 
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notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme comporte aussi un dispositif contrSleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'xm serveur distant. Ledit dispositif controleur comporte 
des moyens de comiexion pour le connecter 61ectriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un reseau de communication informatique, au dispositif 
demonstrateur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifi6 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres designe 
les moyens de transmission du dispositif demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de d6fi d 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re9U tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R. Le dispositif 
controleur comporte aussi des moyens de transmission, ci-apres designes 
les moyens de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 
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• etape 3 : acte de reponse D 

Les moyens de reception des defi3 d du dispositif temoin, -re9oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
5 temoin calculent les reponses D a partir des defis d en appliquant le 

processus specifie ci-dessus. 

• etape 4 : acte de contrdle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi 
10 - des moyens de calcul, ci-apres designes les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designps les moyens de 
comparaison du dispositif controleur. 

Premier caS '^ : le ^demonstrateur a transmis une partiew^ de chaque 
1 5 engagement R % 

Dans le cas ^ou les moyens de transmission du demonstratew^ont transmis 
une partie de chaquf ^engagejnent R^ Jes-^moye^^ calcul du di^ositif 
controleur, disposant des m valeurs publiques Gj, Gj, .•• G„, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstmit 

20 R' satisfaisant a ime relation du type : 

R' = G/^ Gj ^. . . . G^ ^"^ . mod n 
ou a une relation du type, 

R' s / G/^ Gj ^. . . . G„ ^ • mod n . 
Les moyens de comparaison du dispositif controleur comparent chaque 

25 engagement reconstmit R' a tout ou partie de chaque engagement R re^u. 

cas ou le demonstrateur a transmis Fint6gralitd de chaque^engagement 
R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
rintegralite de chaque engagement R, les moyens de calcul et les moyens 
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de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gj, G2, Gn,, verifient que chaque engagement R satisfait a une relation 
du type : 

R s G/^ Gj ^. . • . G„ . mod n 

ou k une relation du type, 

RsDVGi . G2 G„ ^ . mod n . 
Cas de la preuve de I'integrit^ d'un message 

Dans une deuxieme variante de realisation susceptible d'etre combinee 
avec la premiere, le systeme selon T invention est destine a prouver a une 
entite appelee controleur Tintegrite d'\m message M associe a une entite 
appelee demonstrateur, Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associ6 a Tentit^ d^monstrateur. Ledit dispositif 
demonstrateur est interconnect^ au dispositif t6moin par des moyens 
d' interconnexion, n pent se presenter notamment sous la forme de 
microcircxiits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
systeme comporte aussi un dispositif controleur associe a T entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via un r6seau de conmiunication informatique, au dispositif 
demonstrateur. 

Ledit systeme execute les etapes suivantes : 
• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 



transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'mterconnexion, 

• etape 2 : acte de defi d 
Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant une 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T. Le 
dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
contrdleur, Le dispositif controleur comporte aussi des moyens de 
productions de defis pour produire, apres avoir re^u le jeton T, des defis d 
en nombre egal au nombre d' engagements R, Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du dispositif contr61eur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de r^ponse D 

Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin calculent les reponses D a partir des defis d en appliquant le 
processus specific ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au controleur. Le dispositif controleur comporte aussi des 
moyens de calcul, ci-apres designes les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques Gj, Gj, ... G^, pour d'une 
part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstrait R' satisfaisant a une relation du type : 




R' s ^. ... . mod n 

ou k une relation du type : 

R*sD"/G/^G2*'l...G„*". modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% xm jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re^u. 

Signature numerique d'un message et preuve de son authenticite 

Operation de signature 
Dans ime troisieme variante de realisation, susceptible d'etre combinee a 
Time et/ou a I'autre des deux autres, le systeme selon Tinvention est 
destin6 k produire la signature numerique d'un message M, ci apr6s 
design^ le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D . 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
Tentite signataire. Ledit dispositif signataire est interconnecte au dispositif 
t^moin par des moyens d'interconnexion et pent se presenter notamment 
sous la forme de microcircuits logiques dans \m objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagementR 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
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ci-dessus. 

Le dispositif t^moin comporte des moyens de transmission, ci-apres 
designes les moyems de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'intercGnnespon. 

• etape 2 : acta de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R pour calculer im train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d'engagements R. 

• etape 3 : acte de r^ponse D 

Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif signataire, via les moyens^d' interconnexion. 
Les moyens de calcul des reponses D du dispositif t6moin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci- 
dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temom, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 

Operation de contrSle 
Pour prouver Tauthenticite du message M, par une entity appelee 
controleur, controle le message sign6. 

Le systeme comporte un dispositif controleur associe a Tentite controleur. 
Ledit dispositif controleur se presente notamment sous la forme d'un 
terminal ou d'lm serveur distant. Ledit dispositif controleur comporte des 
moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, 
notamment via im reseau de conmiunication infonnatique, au dispositif 



demonstrateur. . 

Ledit dispositif signataire associe a Tentite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif contrdleur dispose d'un 
message sign6 comprenant: 

- le message M, 

- les d6fis d et/ou les engagements R, 

- les reponse D. 

Le dispositif controleiir comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif contrdleur. 

• cas oil le contrdleur dispose des engagements R, des defis d, des 
r^ponses 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des reponses D, les moyens de calcul et de comparaison du 
dispositif contrdleur v^rifient que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G/^ . . . ^ . mod n 
ou a des relations du type : 

R = DVG/^G2^^-..G„^'". modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d-h(M,R) 

• cas ou le contrdleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses 
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D, les moyens de calcul du dispositif eontroleur calctilent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' = Gi . G2 ... G„ ^ . D^modn 
ou a des.jelatians du type : 

R' = DVGi^*.G2'*^....G„**™. modn 
Puis, les moyens de calcul et de comparaison du dispositif eontroleur verifie 
que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,RO 

• cas ou le eontroleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif eontroleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif contrSleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif eontroleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gi . G2 ^ ... G„ • mod n 
ou a des relations du type : 

RsDVG/^G2^^...G„•*''". modn 
Cas oil on choisit la valeur privee Q en premier et oil on deduit la 
valeur publique G de la valeur privee Q 

Dans certains, notamment afin de faciliter la production des couples de 
valours privees Q et publiques G, on choisit la valeur privee Q en premier 
et on deduit la valeur publique G de la valeur privee Q- Plus 
particulierement dans ce cas, le systfeme selon 1' invention est tel que les 
composantes Qj^ 1 5 Qi, 2 > ••• Qi, f valours privees aQ|^ sont des nombres 
tires au hasard a raison d'une composante Q| j (Qi, j = Qi mod pj) pour 
chacun desdits facteurs premiers Pj. Lesdites valours privies Q| peuvent 
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etre calculees a partir desdites composantes Q,^ i , Qi, 2 Qi, f 1^ 
methode des restes chinois. Lesdites valexirs publiques sont calculees 
en effectuant des operations du type 

puis, en appliquant la m6thode des restes chinois pour etablir tel que 

Gj . Qi'' = 1 . mod n ou Gj = Qi"" mod n ; 
Ainsi, le nombre d' operations arithmetiques modulo pj k effectuer pour 
calculer chacun des G^^j pour chacun des pj est reduit par rapport a ce qu'il 
serait si les operations etaient efFectuees modulo n. 

Avantageusement dans ce cas, le systeme selon Tinvention est tel que 
I'exposant public de verification v est un nombre premier. On demontre 
que la securite est equivalente a la coimaissance de la valeur privee Q| . 
Cas ou on choisit la valeur publique G en premier et ou on d^duit la 
valeur privee Q de la valeur publique G. 
De preference dans ce cas, ledit exposant v est tel que 

y = 2^ 

ou k est un parametre de securite plus grand que 1. Ladite valeur publique 
Gi est le carre gj^ d'lm nombre de base & inferieur aux f facteurs premiers 
Pi» P2> ••• Pf • Le nombre de base & est tel que les deux equations : 

x^ = gimodn et x^s-gjmodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n et tel que 
r^quation : 

s gj^ mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

Dispositif terminal 
Methode des restes chinois appliqu^e k la famille 

L' invention conceme aussi xm dispositif terminal associe a ime entite, Le 
dispositif terminal se pfesente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 
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dispositif terminal est destine a prouver a dispositif controlexir : 

- I'authenticite d'une entite.et/ou 

- rintegrite d'un message M associe a cette entite. 

Cette preuve est etablie an moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qj, Qj, Qm et publiques Gj, Gj, ... 
G„ (m etant superieur ou egal a 1), 

- im module public n constitue par le produit de f facteurs premiers p,, 
P2, ... Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valeurs sont lies par des relations 
du type : 

Gi . Qi"" = 1 . mod n ou Gj s Q,^ mod n . 
Ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoiie contenant les ^ factews premiers P|et/ou les parametres des 
restes chinois des facteurs premiers et/ou du module public n et/ou les m 
valeurs privies Qj et/ou les f.m Gomposantes-Qj^ j (Qi, j = Qi mod pj) des 
valeurs privees QjCt de I'exposant public v. Le dispositif temoin comporte 
aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens- de calcul permettent de calculer des engagements R dans 
ranneau des entiers modulo n. Chaque engagement est calcule en 
effectuant des operations du type 

Ri^r|''mo4%Pi 

ou Tj est im alea associe au nombre premier p^ tel que 0 < Tj < ft , chaque 
appartenant a une collection d'aleas (r^ , , ... produits par les 




moyens de production d'aleas, puis en appliquant la methode des restes 
chinois. 

Ainsi, le nombre d'operations arithm^tiques modulo p, a effectuer pour 
calculer chacun des engagements Rj pour chacxm des ft est reduit par 
rapport ce qu'il serait si les operations etaient effectu6es modulo n. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d, 
chaque defi d comportant m entiers d| ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calctil des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Di = i-i . Q,,i . Qi,2 ^- . • • Qi.m mod p, 
puis, en appliquant la methode des restes chinois. 

Ainsi, le nombre d'operations arithmetiques modulo P| k effectuer pour 
calculer chacune des reponses Dj pour chacim des Pi est reduit par rapport 
a ce qu'il serait si les operations etaient effectuees modulo n. 
Le dispositif temoin comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et ime ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R Chaque 
groupe de nombres R, d, D constituant im triplet note {R, d, D}. 

Cas de la preuve de Tauthenticite d'une entite 
Dans ime premiere variante de realisation, le dispositif terminal selon 
rinvention est destine a prouver Tauthenticite d'xme entite appel6e 
demonstrateur k une entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a Tentite demonstrateur, Ledit dispositif demonstrateur est 
interconnecte au dispositif temoin par des moyens d' interconnexion. H 
pent se presenter notamment sous la forme de microcircuits logiques dans 
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un objet nomade par exemple sous la forme d'un microprocesseur dans xme 
carte bancaire a microprocesseur.. 

Ledit dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via xm r^seau de communication 
infonnatique, a im dispositif controleur associe a I'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un temiinal ou 
d'lm serveur distant 

Ledit dispositif terminal permet d'executer les Stapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
d6signes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d* interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-^res designes les moyens de transmission du 
demonstratexir, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etape 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir-des defis d en -appliquant le processijs specific ci- 
dessus: 

• etape 4 : acte de controle 




Les moyens de transmission du demonstrateur transmettent chaque 
reponse D au dispositif controleur qui precede au controle. 

Cas de la preuve de Pint^grit^ d'un message 
Dans une deuxieme variante de realisation, susceptible d'etre combin6e 
aux autres variantes de realisation, le dispositif tenninal selon Tinvention 
est destine a prouver a une entite appelee controleur I'integrite d'un 
message M associe a une entite appelee demonstrateur. Ledit dispositif 
terminal est tel qu'il comporte un dispositif demonstrateur associe a T entite 
demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d'interconnexion. n pent se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocessexir. Ledit dispositif demonstrateur comporte des moyens de 
connexion pour le connecter eiectriquement, 61ectromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un r^seau de 
communication informatique, a un dispositif controleur associ6 a T entity 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'lm terminal ou d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : aete d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifi6 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
aprds d6sign6s les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etape 2 et 3 : acte de defi d, acte de reponse 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
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fonction de hachage h ayant comme arguments le message M et tout ou 
paitie de chaque engagement R pour calculer au moins im jeton T. Le 
dispositif d^monstrateur comporte aussi des moyens de transmission, ci- 
apr^ d6sign& les moyens de transmission du d6monstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur. 

Ledit dispositif controleur produit, aprds avoir re9u le jeton T, des defis d 
en nombre egal au nombre d'engagements R. 

Les moyens de reception des defis d du dispositif temoin, resolvent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus sp6cifi6 ci- 
dessus. 

• £tape 4 : acte de contrdle 
Les moyens de transmission du demonstrateur trarismettent chaque 
reponse D au dispositif controleur qui precede au contrdle. 

Signature num^rique d'un message et preuve de son authenticity 

Operation de signature 
Dans ime troisieme variante de realisation, susceptible d'etre combinee aux 
autres, le dispositif terminal selon T invention est destine a produire la 
signature numerique d'un message M, ci apres designe le message sign6, 
par ime entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ledit dispositif terminal etant tel qu'il comporte im dispositif signataire 
associe a Tentite signataire. Ledit dispositif signataire est interconnecte au 
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dispositif temoin par des moyens d'mterconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter 61ectriquement, electromagn^tiquement, 
optiquement ou de maniere acoustique, notamment via un r^seau de 
commimication informatique, a un dispositif controleur associe a Tentite 
controleur. Ledit dispositif controleur se presente notamment sous la fonne 
d'lm terminal ou d'un serveur distant. 

Ledit dispositif terminal peraiet d'executer les etapes suivantes : 

• ^tape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres d6sign6s les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme argxmients le message M et tout ou partie de 
chaque engagement R pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 

Les moyens de reception des d^fis d re^oivent les defis d provenant du 
dispositif signataire, via les moyens dMnterconnexion. Les moyens de 
calcul des reponses D du dispositif temoin calculent les reponses D a partir 
des defis d en appliquant le processus specific ci-dessus. Le dispositif 
t6moin comporte des moyens de transmission, ci-apres designes les moyens 



de transmission du dispositif temoin, pour transmettre les reponses D au 
dispositif signataire, via les moyens d' interconnexion. 

Dispositif contrdleur 
M^thode des restes chinois appliquee k toute la fainille GQ 
L' invention conceme aussi xm dispositif controleur, Le dispositif 
controleur pent se presenter notamment sous la forme d'un terminal ou 
d'un serveur distant associe a ime entite controleur. Le dispositif 
controleur est destine a prouver a un serveur controleur : 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres 
suivants ou derives de ceux-ci: 

- m couples de valeurs privies Q^, Qj, ... Qm e|t publiques Gj, Gj, ... 
G„ (m etant.sup6rieur ou 6gal 1), 

- im module public -n constitu6 par le produit de f facteuis premiers pg, 
P2, . . . Pf (f etant superieur ou egal a 2), 

- un exposant public v . 

Ledit module, ledit exposant et lesdites valem^ sont lies par des relations 
du type : 

Gi . Qi'' = 1 . mod n ou Gi = Qi^ mod n ; 
ou Qi designe ime valeur privee, inconnue du dispositif controleur, 
associee a la valeur publique G| . 

Cas de la preuve de I'authenticite d'une entity 
Dans ime premiere variante de realisation, susceptible d'etre combinee 
avec les autres, le dispositif controleur selon Tinvention est destine a 
prouver rauthenticite d'une entite appelee demonstrateur a une entite 
appelee controleur. 

Ledit dispositif controleur comporte des moyens de coimexion pom- le 
connecter electriquement, electromagnetiquement, optiquement ou de 



maniere acoustique, notamment via im reseau de communication 
infomiatique, a im dispositif demonstrateur associe a Tentite 
demonstrateur. 

Ledit dispositif controleurpennet d'executer les etapes suivantes : 

• ^tape let 2: acte d'engagement R, acte de d^fi 

Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re^u tout ou partie de chaque engagement des 
defis d en nombre egal au nombre d'engagements R, chaque defi d 
comportant m entiers d| , ci-apres appeles defis elementaires. 
Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres d6signes les moyens de transmission du dispositif contrdleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse, acte de contrdle 
Le dispositif controleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcxil du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif contrdleur ont re9us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G^, Gj, ... G„, calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 




R' satisfaisant k line relation du type : 

R' s Gi . Gj.^. . .. G„ . mod n 

ou a line relation du type, 

R' s D'' / Gi . G2 . .. G„ *"Tmod h . 
Les moyens de comparaison du dispositif contrdleur comparent chaque 
engagement reconstruit R' k tout ou partie de chaque engagement R re9u. 
Deuxieme cas : le d^monstrateur a transmis Tintegraliti de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont repus 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G„ G2, ... G^ verMent qucehaqwrn^engaggment R satisfait.a une relation 
du type^.u 

R m. G, ."GjE ... G^^"rD'':anod n 
ou k ime lelaticmsdusl^ef* 

R s W J Gi . Gi"*".^.. Grt Lt"'i'mod n .* 
Cas--de4apreu!V5e*de4?int6g^te«d?iin-message»^ 
Dans une deuxieme variante de realisation, susceptible d'etre combin6e 
avec les autres, le dispositif controleur selon 1' invention est destine k 
prouver I'integrite d'un message M associe a ime entite appelee 
d^monstrateur. 

Ledit dispositif contrdleur comporte des moyens de connexion pour le 
connecter 61ectriquement, electromagn^tiquement, optiquement ou de 
manidre acoustique, notamment via un r^seau de communication 
informatique, a un dispositif d6monstrateur associ^ a I'entit^ 
d^monstrateur. 

Ledit dispositif controleur permet d'ex^cuter les etapes-suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
Ledit dispositif controleur comporte aussi des moyens de reception de 
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jetons T provenant du demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte awssi des moyens de productions de d^fis 
pour produire, apres avoir re?u le jeton T, defis d en nombre 6gal au 
nombre d' engagements R , chaque defi d comportant m entiers, ci-aprds 
appeles les d6fis 61ementaires. Le dispositif controleur comporte aussi des 
moyens de transmission, ci-aprfes design^s les moyens de transmission du 
dispositif controleur, pour transmettre les defis d au demonstrateur, via les 
moyens de connexion. 

• Stapes 3 et 4 : acte de reponse D, acte de contrdle 
Le dispositif controleur comporte des moyens de reception des reponses D 
provenant du dispositif demonstrateur, via les moyens de connexion. Le 
dispositif controleur comporte aussi des moyens de calcul, ci-apres 
design6s les moyens de calcul du dispositif contrSleur, disposant des m 
valeurs publiques Gi, Gj, ... G„, poxir d'lme part, calculer a partir de 
chaque defi d et de chaque r6ponse D un engagement reconstruit R' 
satisfaisant k une relation du type : 

R' = G/^ G2 . . . G„ . mod n 
ou a ime relation du type : 

R' =DV Gi . G2 ... G„ . mod n 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
conmie arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T'. 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif contrSleur, pour 
comparer le jeton T' au jeton T re9U. 

Signature numerique d'un message et preuve de son authenticity 

Dans une troisieme variante de realisation, susceptible d'etre combinee aux 
autres variantes de realisation, le dispositif controleur selon I'invention est 
destine a prouver Tauthenticite du message M en controlant, par une entite 
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appelee controleur, le message signe. 

Le message signi, emis par im.dispositif signataSrfe associe-'^ mie entite 
signataire disposant d'une fonction de hachage h (M, R) ; comprend : 

- le message M, 

- les defis d et/ou les engagem^ts R, ^ 

- les reponse D . 

Ledit dispositif controlem- comporte des moyens de comiexion pour le 
comiecter 61ectriquement, electromagn^tiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
inforaiatique, a un dispositif signataire associ6 a 1' entite signataire. Ledit 
dispositif controleur regoit le message signe du dispositif signataire, via les 
moyens de connexiera'^ . 
Le dispositif controleur^comporte : 

- des moyens de calcul, ci-apiis- d6sign6s ies ^moyens de calcul du 

dispositif contr6«tei]r, - 

- des moyens de coraparaison, ci-aprds d6sign6s les»moyens de 

comparaison du dispositif :contFdleiiH'.>-^ 

• cas ou le controleur dispose des engagements R, des d6fis d, des 
reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des 
defis d, des r6ponses D, les moyens de calcul et de comparaison du 
dispositif contrSleur v^rifient que les engagements R, les d6fis d et les 
reponses D satisfont a des relations du type 

R s G, G„ . mod n 

ou k des relations du type : 

RsDVG,*.G2'"....Gm'^. modn 

Puis, les moyens de calcul et de compandson du ..dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont k la 
fonction de hachage 




d = h(M,R) 

• cas ou le controleur dispose des defis d et des r6ponses D 

Dans le cas ou le dispositif controleur dispose des d6fis d et des r6ponses 
D, les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque r6ponse D, des engagements R' satisfaisant k 
des relations du type : 

R'=Gi **^G2^....G„*".D" modn 
ou a des relations du type : 

R' = DVG/^G2**^.-.G„'*". modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d-h(M,RO 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d'=h(M,R) 

Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

Rs Gi • Gj "^'^ ... G„ ^'"^ . mod n 
ou a des relations du type : . 

RsDVG/^G2^'^...G„^'"". modn 
Description d^taillee de la variante de realisation dans le cas oil 
Texposant public v = 2 



Description 

Rappelons robjectif de la technologic GQ : rauthentification dynamique 
d'entites et de messages associes, ainsi que la signature numerique de 
messages. 

La version classique de la technologie GQ fait appel k la technologie RSA. 
Mais, si la technologie RSA depend bel et bien de la factorisation, cette 
dependance n'est pas une Equivalence, loin s'en faut, comme le demontrent 
les attaques dites « muWplicatives » contre diverses nonnes de signature 
numerique mettant en ceuvre la technologie RSA. 

Dans le cadre de la technologie GQ2, la presente partie de 1' invention porte 
plus precisement sur rutilisation des jeux de cles G02 dans le cadre de 
rauthentification dynamique et de la signature numerique. La technologie 
GQ2 ne fait pas appel a la technologie RSA. L*objectif est double : d'lme 
part, ameliorer les perforaiances par rapport a la technologie-RS A ; d' autre 
part, eviter-les problemes inhirents a la 4eehnologie.^RSA. La cle privee 
GQ2 est la factorisation du module n. Toute attaque au- niveau de striplets 
GQ2 se ramene a la factorisation du module n : il y a cette^fofe4quivalence. 
Avec la technologie GQ2, la charge de travail est reduite, tant pour Tentite 
qui signe ou qui s'authentifie que pour celle qui contrSle. Grace un 
meilleur usage du probl^me de la factorisation, tant en securite qu'en 
performance, la technologie GQ2 concurrence la technologie RSA. 
La technologie GQ2 utilise un ou plusieurs petits nombres entiers plus 
grands que 1, disons m petits nombres entiers (w > 1) appeles « nombres de 
base » et notes par g.. Les nombres de base etant fixes de a avec m > 1, 
xme cle publique de verification {v, n) est choisie de la maniere suivante. 
L'exposant public de verification v est 2* ou k est im petit nombre entier 
plus grand que 1 {k^ 2). Le module public n est le produit^d'au^gmoins deux 
facteurs premiers plus grands que les nombres de base, disons / facteurs 
premiers {f> 2) notes par Pj^dcp^ ... Les / facteurs premiers sont choisis 
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de fafon a ce que -le module public n ait las proprietes suivantes par rapport 
k chacun des m nombres de base de a 

- D'une part, les Equations (1) et (2) n'ont pas de solution en x dans 
ranneau des entiers modulo «, c'est-^l-dire que g, et -g, sont deux r^sidus 
non quadratiques (mod «). 

= gi (mod n) (1) 
= -gi (mod n) (2) 

- D'autre part, l'6quation (3) a des solutions en x dans I'anneau des entiers 
modulo n. 

x^" = gf (mod n) (3) 
La cl6 publique de verification <v, n) 6tant fix6e selon les nombres de base 
de gi k g„ avec m ^ 1, chaque nombre de base g, determine un couple de 
valeurs GQ2 comprenant une valeur publique G, et une valeur priv6e Q, : 
soit m couples not6s de G, Q. a G„ Q„. La valeur pubUque G, est le caire du 
nombre de base g, : soit G, = g/. La valeur privfe Q, est une des solutions a 
I'equation (3) ou bien I'inverse (mod n) d'une telle solution. 
De meme que le module n se decompose en/facteurs premiers, I'anneau 
des entiers modulo n se decompose en / corps de Galois, de .CG(p,) h 
CG(p). Voici les projections des equations (1), (2) et (3) dans CGip). 
x^sgi (mod Pj) (l a) 

x^^-gi (mod Pj) (2.a) 
x^" ^gf (mod pj) (3.a) 
Chaque valeur priv6e Q, pent se representer de manidre unique par / 
composantes privees, une par facteur premier :Q^^Q> (raodp). Chaque 
composante privee Q., est une solution a I'equation (S.a) ou bien I'inverse 
(mod p) d'une telle solution. Apres que toutes les solutions possibles k 
chaque'equation (3.a) aient et€ calculees, la technique des restes chinois 
permet d'etablir toutes les valeurs possibles pour chaque valeur privee k 
partir de /composantes de g,. a 2* = testes Chinois {Q,,, Q,^, ... Q,/) 
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de maniere a obtenir toutes les solutions possibles a Tequation (3). 
Void la technique des testes chinpis : soient deux nombres entiers positifs 
premiers entre eux a et b tels que 0 < a < ^, et deux composantes Jf de 0 a 
a-l et Xj^de 0 k b-l ; il s'agit de determiner X= Restes Chinois (X^^ X^), 
c'est-a-dire, le nombre unique JTde 0 a a.b-l tel que X sjr(moda) et 
Xj^=X(mod b). Void le parametre des restes chinois : a = {b (mod a)}"' 
(mod a). Voici Top^ration des restes chinois : e = (mod a) ; 5 = Jf-e ; si 
5 est n6gatif, remplacer 6 par Sr^a ; ys a . 5 (mod a) ; X= y .b-^X^. 
Lorsque les facteurs premiers sont ranges dans Tordre croissant, du plus 
petit p^ au plus grand Pj, les parametres des restes chinois peuvent Stre les 
suivants (il y en a /-I, c'est-a-dire, xm de moins que de facteurs premiers): 
Le premier parametre des restes chinois est a= {p^ (mod p,)}"^ (modj?,). Le 
second parametre des restes chinois est ^ = {PiPz (mod p^)}'^ (mod p^). Le / 
ieme parametre des restes chinois est X s {p^.p^. . . . p.^^ (mod (mod p). 
Et ainsi de suite. Ensuite^ en/^1 operations des restes chmois; on etablitun 
premier r6sultat (modp^ fois /7,) avec le premier parametre; puis, un second 
resultat (modi^i-j^j fois P3) ^^^^ second parametre, et ainsi de suite, 
jusqu'a un r^sxiltat (mod — joy^, fois p)^ c'est-a-dire, (mod n). 
II y a plusieurs representations possibles de la cle priv^e GQ2, ce qui tradxiit 
le polymorphisme de la cle privee GQ2. Les diverses representations 
s'averent ^quivalentes : elles se ramenent toutes a la connaissance de la 
factorisation du module n qui est la veritable cle privee GQ2. Si la 
representation affecte bien le comportement de Tentite qui signe ou qui 
s'authentifie, elle n'afFecte pas le comportement de Tentite qui controle. 
Voici les trois principales representations possibles de la cle privee GQ2. 
n La representation classique en technologic GO consiste a stocker m 
valeuFS pri^ees et la cle publiquiSi^e^erificatipn (v, «) ; en technologic 
GQ2, cette representation est concurrencee par les deux suivantes. 2) La 
representation optimale en termes de charges de travail consiste a stocker 
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Texposant public v, les/facteurs premiers /t^ m/composantes privees Q,^ et 
f-\ paramdtres des restes chinois.. 3) T.a representation optimale en termes 
Hp faille decl6priv6e consiste a stocker I'exposant public v, les m nombres 
de base et les /facteurs premiers puis, a commencer chaque utilisation 
en 6tablissant ou bien m valeurs privies et le module n pour se ramener ^ 
la premiere representation, ou bien m.f composantes privees et f-\ 
parametres des restes chinois pour se ramener a la seconde. 
Les entites qui signent ou s'authentifient peuvent toutes utiliser les memes 
nombres de base ; sauf contre indication, les m nombres de base de g, k g„ 
peuvent alors avantageusement etre les m premiers nombres premiers. 
Parce que la s6curit6 du m^canisme d'authentification dynamique ou de 
signature num^rique equivaut k la connaissance d'une decomposition du 
module, la technologic GQ2 ne pennet pas de distinguer simplement deux 
entit6s utilisant le mfime module. G6n6ralement, chaque entit6 qui 
s'authentifie ou signe dispose de son propre module GQ2. Toutefois, on 
peut specifier des modules GQ2 quatre facteurs premiers dont deux sont 
connus d'lme entite et les deux autres d'une autre. 

Voici un premier jeu de cles GQ2 avec * = 6, soit v = 64, w = 3. soit trois 
nombres de base : = 3, = 5 et = 7, et / = 3, soit un module k trois 
facteurs premiers : deux congrus k 3 (mod 4) et un a 5 (mod 8). Notons que 
g = 2 est incompatible avec un facteur premier congru a 5 (mod 8). 
p, = 03CD2F4F21E0EAD60266D5CFCEBB6954683493E2E833 
= 0583B097E8D8D777BAB3874F2E76659BB614F985EC1B 
^3 = 0C363CD93D6B3FEC78EE13D7BE9D84354B8FDD6DA1FD 
n=p, - A .;73 = FFFF81CEA149DCF2F72EB449C5724742FE2A3630D9 
02CC00EAFEE1B957F3BDC49BE9CBD4D94467B72AF28CFBB26144 

CDF4BBDBA3C97578E29CC9BBEE8FB6DDDD 

e„ = 0279C60D216696CD6F7526E23512DAE090CFF879FDDE 

o' ' = 7C977FC38F8413A284E9CE4EDEF4AEF35BF7793B89 
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^3., = 6FB3B9e05A03D7CADA9A3425571EF5ECC54D7A7B6F 
= 0388EC6AA1E87613D832E2B80E5AE8C1DF2E74BFF502 
Q^^ = 04792CE70284D16E9A158C688A7B3FEAF9C40056469E 
Q,^ = FDC4A8E53E185A4BA793E93BEE5C636DA731BDCA4E 
^,3 = 07BC1AB048A2EAFDAB59BD40CCF2F657AD8A6B573BDE 

= 0AE8551E1 16A3AC089566DFDB3AE003CF174FC4E4877 
Q^^ = 01682D490041913A4EA5B80D16B685E4A6DD88070501 

= D7E1CAF28192CED6549FF457708D50A7481572DD5F2C335D8 
C69E2252 1 B5 1 0B64454FB7A 1 9AEC8D06985558E764C699 1 B05FC2 A 
C74D974343 5 AB4D7CF0FF6557 

= CB1ED6B1DD649B89B9638DC33876C98AC7AF689E9D1359E4 
DB 1 7563B9B3DC582D527 1 949F3DB A5 A70C 108M64 A274405 A5CB8 



= 09AA6F4930E51A70CCDFA77442B10770DD1CD77490E3398A 



697238537FE7A0195C5E8373EB74D 

Void un second jeu de el6s GQ2, ave© * = 9, soit v = 512, m = 2, soit de\ix 
nombres de base : g-, = 2 et = 3, et/= 3, soit un module a trois facteurs 
premiers congrus a 3 (mod 4). 

= 03852 103E40CD4F06FA7BAA9CC8D5BCE96E3984570CB 
= 062AC9EC42AA3E688DC2BC871C8315CB939089B61DD7 
/?, = 0BCADEC2 1 9F1DFBB8AB5FE808A0FFCB53458284ED8E3 
n=P,-P2 'P3 = FFFF54O1ECD9E537F167A80C0A91 11986F7A8EBA4D 
6698AD68FF670DE5D9D77DFF00716DC7539F7CBBCF969E73AOC49 
761B276A8E6B6977A21D5 1669D039F1D7 
e, , = 0260BC7243C22450D566B5C6EF74AA29F2B927AF68E1 
g^, = 0326C12FC7994ECDC9BB8©7ClC4501fiElBAE9485300E 
g,^ = 02DOB4CC95A2DD435DOE22BFBB29C5941 8306F6CD00A 
= 045ECB881387582E7C556887784D2671CA1 18E22FCF2 
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= B0C2B1F808D24F6376E3A534EB555EF54E6AEF5982 
= 0AB9F81DF462F58A52D937E6D81F48FFA4A87A9935AB 
= 27F7B9FC82C19ACAE47F3FE9560C3536A7E90F8C3C5 1E13C 
35F32FD8C6823DF753685DD63555D2146FCDB9B28DA367327DD6 

EDDA092DPCF108D0AB708405DA46 

= 230D0B9595E5AD388F1F447A69918905EBFB05910582E5BA64 

9C94BOB2661E49DF3C9B42FEF1F37A7909B1C2DD54113ACF87C6 

Fl 1F19874DE7DC5D1DF2A9252D 

Authentification dynamique 

Le m6canisme d'authentification dynamique est destine k prouver a une 
entity appelee contrdleur I'authenticit^ d'une autre entity appelee 
d^monstrateur ainsi que l'authenticit6 d'un 6ventuel message associe M, 
de sorte que le contrdleur s'assure qu'il s'agit bien du d6monstrateur et 
eventueUement que lui et le d^monstrateur parlent bien du mSme message 
M. Le message associe A/ est optionnel, ce qui signifie qu*il peut atre vide. 
Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d'engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le contrdleur joue les actes de d^fi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
paramfetre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon I'une des trois representations evoquees ci-dessus : • les/ 
facteurs premiers et les m nombres de base, • les w./composantes priv6es. 
les/facteurs premiers et/-l parametres des restes chinois, • les m valeurs 
privees et le module n. 

Le t6moin peut correspondre a une realisation particuliere, par exemple. 
• une carte puce reliee a un PC formant ensemble le demonstrateur, ou 
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encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des. programmer particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isol6 est semblable au t6moin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit im ou 
plusieure engagements i?, puis, autant de reponses D k autant de d6fis d. 
Chaque ensemble {R, </, D} constitue un triplet GQ2. 
Outre qu'il comprend le t6moin, le demonstrateur dispose 6galement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le contrdleur dispose du module n et des parametres ^ et /w ; le cas ech6ant, 
il dispose egalement de la m€me fonction de hachage et d'lm message M'. 
Le controleur est apte a reconstimer un engagement R ' a partir de n'importe 
qud defi d et de--n'impoFte««^elle «ep>0nse<«^D. Les*4)aijai^^ et m 
renseigncint le controleur. FaUte 4'indicaM0n contraire, les m nombres de 
base de ^ g„ sont les m premecs nomlmes -premiers^Chaque defi d doit 
comporter m d6fis^616men1aia3es-snotes 'de ^ ^ 4,,^ un^pawEiombre de base, 
Chaque defi ^16mentaire de«rf, a </„doit^rendre une valejur de 0 ^ 2*"'-l (les 
valeurs de^W2 1 v-1 ne«sont *pas«iutiMs6^^,Typiquemeiit, chaque d6fi est 
code par m fois k-\ bits (et non pas m fois k bits). Par exemple, avec = 6 
et m = 3 et les nombres de base 3, 5 et 7, chaque defi comporte 15 bits 
transmis sur deux octets ; avec A: = 9, m = 2 et les nombres de base 2 et 3, 
chaque defi comporte 16 bits transmis sur deux octets. Lorsque les (A:-l).m 
defis possibles sont 6galeinent probables, la valeur (^-l).m determine la 
s6curit6 apport6e par chaque triplet GQ2 : un imposteur qui, par definition, 
ne connaJt pas la factorisation du module n a exactement une chance de 
succes sur 2^*""". Lorsque (*:-l).m vaut de 15 a 20, un triplet suffit k assurer 
raisonnablement I'authentification dynandque. Pour attemdre n'importe 
quel niveau de seciuit^, on peut produir^ des 'iriplets^emparall^&ie ; on pent 
6galement en produire en s6quence, c'est-a-dire, repeter I'ex^cution du 
mecanisme. 
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1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le t6moin dispose des m valeurs priv6es de Q, a Q„ et du module «, 

il tire ail hasard et en priv6 un ou plusieurs al6as r (0 < r < n) ; puis, par k 

616vations successives au carr6 (mod «), il transforme chaque al6a r en un 

engagement 

R = r^ (modw) 

Void un exemple avec le premier jeu de cl6s avec k = 6. 
r=B8AX)426ClAC0165E94B894AC2437ClB1797EF562CFA53A4AF8 

43131FF1C89CFDA131207194710EF9C010E8F09C60D9815121981260 
919967C3E2FB4B4566088E 

R = FFDD736B666F41FB771776D9D50DB7CDF03F3D976471B25C56 
D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C21210C6B04 

49CC4292E5DD2BDB00828AF1 8 

Lorsque le t6moin dispose des / facteurs premiers de p, h et des m./ 
composantes privies il tire au hasard et en priv6 une ou plusieurs 
collections de/aleas : chaque collection comporte un al6a r, par fecteur 
premier (0 < r<p,) ; puis, par k elevations successives au carre (modp,), 
il transforme chaque al6a r, en une composante d'engagement R,. 

R. = ry (mod Pi) 
Voici un exemple avec le second jeu de cl6s avec k = 9. 
r, = B0418EABEBADF0553A28903F74472CD49EE8C82D86 

= 022B365F0BEA8E157E94A9DEB0512827FFD5149880F1 
r, = 75A8DA8FE0E60BD55D28A218E3 1347732339F1D667 
R^ = 057E43A242C485FC20DEEF291C774CF1B30F0163DEC2 
rl= OD74D2BDA5302CF8BE2F6D406249D148C6960A7D27 
R^ = 06E14C8FC4DD312BA3B475F1F40CF01ACE2A88D5BB3C 
Pour chaque collection de/ composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d' engagements que de collections d'aleas. 



R= Restes Chinois(i2i, R^, ... R) 
R = 28AA7F1225PBFBA81368EB49C93EEAB-3F3EC6BF73B0EBD7 
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9 1 23B56446F6e928736B 1 7B4B A4A529 
5 Dans les deux cas, le demonstrateur transmet au contrdleur tout ou partie de 

chaque engagement Jf , ou bien, un code de hachage H obtenu en hachant 
chaque engagement i? et un message M. 

2) L'acte de defi consiste a tirer au hasard im ou plusieurs d6fis d 
composes chacun de m defis elementaires d^ ... d^ \ chaque defi 

10 elementaire d. prend Tune des valeurs de 0 a v/2-1 . 

d = d^d^... d^ 

Voieivun exempjetpour le premdeE^JeusdeiJOl^ssayeG A == 6 et m - 3. 

d, = lOUO = 22= '16' ; 4= 00111 = 7 ; d^^ OOGIO = 2, 
^ </=0 I I d,l I rfj I rf3^01#11000.4110GG10 = 58«E2 
15 Voici im exemple^>our4e secondtjejasdetoJes^aveG'^ =^ 9 et m ^ 2. 

=5 rf, I I d^ 58*l^'=i= soit-en d6cimal,^88 et 226 
Le contrdlew transmet^au-d^MQnsl^teur&ichaque ^ 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin dispose des m valeurs privees de Q^ a Q„ et du module n, 
20 il calcule ime ou plusieurs reponses D en utilisant chaque alea r de Facte 

d' engagement et les valeurs privees selon les defis elementaires. 

X^Qt\QiK..Qi"' (mod«) 
D = rJC (mod«) 
Voici un exemple pour le premier jeu de cles. 

D = FF257422ECD3C7A03706B9A7B28EE3FC3A4E974AEDCDF386 
5EEF38760B859FDB5333E904BBDD37B097A989F69085FE8EF6480 
A2C6A290273479FEC9T71990A17 ^ 

Lorsque le t6moin dispose des / facteurs premiers de p^ h. Pj et des m.f 
composantes priv6es Q^, il calcule une ou plusieurs collections de / 
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composantes de r^ponse en utilisant chaque collection d'aleas de I'acte 
d' engagement : chaque collection de composantes de r^ponse comporte xine 
composante par facteur premier. 

^i^Qil-Q^h-Qi^^i (modp,.) 
Di^ri.Xi (mod Pi) 
Voici vm exemple pour le second jeu de cl6s. 

Z). = r..e,/'.(2:/(modi7.) = 

02660ADF3C73B6DC 1 5E 1 96 1 52322DDE8EB5B35775E3 8 

04C15028E5FD1175724376C11BE77052205F7C62AE3B 

0903D20D0C306C8EDA9D8FB5B3BEB55E061AB39CCF52 

Pour chaque collection de composantes de r^ponse, le t^moin etablit une 

reponse selon la technique des restes chinois. II y a autant de reponses que 

dedefis. 

D = Restes Chinois(Z)„ Dj, ... D) 
D = 85C3B00296426E97897F73C7DC6341FB8FFE6E879AE12EF1F36 
4CBB55BC44DEC437208CF53OF8402BD9C511F5FB3B3A3O9257A00 

1 95A7305C6FF3323F72DC 1 AB 

Dans les deux cas, le demonstrateur transmet chaque reponse D au 
contrdleur. 

4) L'acte de contraie consiste k controler que chaque triplet {/?, dy D) 
verifie une Equation du type suivant pour ime valeur non nulle, 

R f\Gf' =£)^* (mod n) oubien R = D^ 
ou bien, i retablir chaque engagement : aucun ne doit 6tre nul. 

R'sD^" /Y[Gf' (mod n) oubien R'=D^ Tl^^' 
EventueUement, le contrdleur calcule ensuite un code de hachage H' er 
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hachant chaque engagement retabli J? ' et un message M'. L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a refu a 
Tissue de I'acte d' engagement, c'est-i-dire, tout ou vpartie de chaque 
engagement ou bien, le code de hachage H. 

Par exemple, une sequence d' operations el6mentaires transfoime la reponse 
Z> en un engagement '. La s^uoice comprend k carres (mod «) sdpares 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la / ieme division ou multiplication, qui s'effectue entre le / ibme carr6 et le 
/+1 ieme carre, le / ieme bit du d6fi el6mentaire d^ indique s'il faut utiliser 
^„ le / idme bit du defi elementaire indique s'il faut utiliser gj, ... 
jusqu*au i vbme bit du defi elementaire qui indique s'il faut utiliser g^. 
Voici im exemple pouale premier jeudeel6s. 

If (mod ii) T= FD12E.8ElF1370AEG9C7BA2E05C80AEl2ja(S92D341D46F3 
2B93948715491F0EB091B7606GA1E744E0688367D7BB998F7B73D5F7 
FDA95D5BD6347De8B978CA217733' 

3 . If (mod n) = F739B70891 1166DFE715800D8A9D78FG3F332FF622D 

3EAB81f977C68AD44962BEE4DAE3C0345DlGB33*§26e3B67EBE8BF 

987041B4852890D83FG6B48D3EF6A9DF 

3' . (mod n) = 682A7AF280C49FE230BEE354BF6FFB30B7519E3G8 
92DD07E5A78 1225BBD33920E5ADABBCD7284966D71 141EAA17AF 
8826635790743EA7D9A15A33AGG7491D4A7 

3" . £)* (mod n) = BE9D828989A2G184E34BA8FE0F38481 1642B7B548F 
870699E7869F8ED85 1FG3DB3 830B2400C5 1 65 1 1 A0G28 AFDD2 1 0EG3 
939E69D4 1 3F0BABC6DEG44 1 974B 1 A29 1 

3' . 5 . jD' (mod ri) = 2B40122E225GD858B26D27B768632923F2BBE5 
DB15GA9EFA77EFA667E554A02AD1A1E4F6B59BD9E1AE4A537D 

4AGlE89C223S636Mf0EBF415:®^@^lA3©A9a®?PlPi^^^ 

3'° . 5' . Z>" (mod n) = BDD3B34C90ABBG870G604E27E7F2E9DB2D383 

68EA46C93 1C66F6G7509B1 1 8E3G 1 6281 1 A98 1 69C30D4DEF768397DD 
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B8F6526B6714218DEB627E1 1FACA4B9DB268 

3" . 5\ 7 . D'* (mod n) = DBFA7F40D338DE4FBA73D42DBF427BBF195 

C13D02AB0FA5F8C8DDB5025E34282311CEF80BACDCE5D0C433444 

A2AF2B15318C36FE2AE02F3C8CB25637C9AD712F 

3" . 5' . 7'. (mod n) = C60CA9C4A1 1F8AA89D9242CE717E3DC6C1 

A95D5D09A2278F8FEE1DFD94EE84D09DOO0EA8633B53C4AOE7F0A 

EECB70509667A3CB052029C94EDF27611FAE286A7 

3^ . 5\ 7\ (mod n) = DE40CB6B41C01E722E4F312AE7205F18CDD 

0303EA52261CB0EA9F0C7E0CD5EC53D42E5CB645B6BB1A3B00C77 

886F4AC5222F9C863DACA440CF5F1A8E374807AC 

3^ . 5" . r . (mod n), c'est-a-dire, S'"" . 5^ . 7' . (mod n) avec les 

exposants en hexa = FFDD736B666F41FB771776D9D50DB7CDF03F3D9 

76471B25C56D3AF07BE692CB1FE4EE70FA77032BECD8411B813B4C 

21210C6B0449CC4292E5DD2BDB00828AF18 

On retrouve bien I'engagementi?. L'authentification est reussie. 

Voici un exemple pour le second jeu de cl6s. 

D' (mod n) = C66E585D8F132F7067617BC6D00BA699ABD74FB9D13E 
24E6A6692CC8D2FC7B57352D66D34F5273C13F20E3FAA228D70AEC 

693F8395 ACEF9206B 1 72A8 A2C2CCBB 

3 .If (modn) = 534C6114D385C3E15355233C5B0OD09C2490D1B8D8E 
D3D59213CB83EAD41C309A187519E5F501C4A45C37EB2FF38FBF20 

1D6D138F3999FC1D06A2B2647D48283 

3^ . D* (mod n) = A9DC8DEA867697E76B4C18527DFFC49F4658473D03 
4EC1DDE0EB21F6F65978BE477C4231AC9B1EBD93D5D49422408E47 

15919023B16BC3C6C46A92BBD326AADF 

2 . 3' . (modn) = FB2D57796039DFC4AF9199CAD44B66F257A1FF 
3F2BA4C12B0A8496A0148B4DFBAFE838E0B5A7D9FB4394379D72A 
107E45C51FCDB7462D03A35002D29823A2BB5 

2\3\ D' (mod n) = 4C210F96FF6C77541910623B1E49533206DFB9E91 
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6521F305F12C5DB054D4E1BF3A37FA293854DF02B49283B6DE5E5D 
82ACB23DAF1 A0D5A721 Al 890D03AOOBD8 

2' . 3' . (mod n) = E4632EC4FE4565FC4B3 126B15ADBF996M9F2D 

BB42F65D911D3851910FE7EA53DAEA7EE7BA8FE9D081DB78B249 

B IB 1 888Q616B90D4E280F564E49B270AE023.58*. 

2* . 3" . D'" (mod «) = ED3DDC716AE3D1EA74C5AF935DE814BCC 

2C78B12A6BB29FA542F9981C5D954F53D153B9F0198BA82690EF 

665C17C399607DEA54E218C2C01A890D422EDA16FA3 

2' . 3" . D'* (mod «) = DA7C64E0E8EDBE9CF823B71AB13F17E1 161487 

6B000FBB473F5FCBF5A5D8D26C7B2A05D03BDDD588164E562D0F5 

7AE94AE0AD3F35C61C0892F4C91DC0B08ED6F 

2.0 328 ^32 (jj^^j ^ 6ED6AFC5A87D2DD1 17B0D89072C99FB9DC9 

5D558F65B6A1967E6207D4ADBBA32001D3828A35069B2S6A07C3D 

722F17DA30088E6E739FBC419FD7282©'MeiDeS42 

2" . 3'* . (mod n) = DDAD5F8B50FA5BA22F61B120E5933F73B92 

BAAB11GB6D432CFCC40FA95B77464003A705146A0D364AD40F8 

7AB45E2FB4601 1 lCDGE73F78833FAE505A2D9AGA84i 

222 3» x)« (mod ») = A466D0CB17614EFD961000BD9EABF4F021 

36F8307101882BC1764DBAACB715EFBF5D8309AE001EB5DEDA 

8F000E44B3D4578E5CA55797FD4BD1F8E919BE787BD0 

31.2 ^.28 ^^^^ ^ 925B0EDF5047EFEC5AFABDC03A830919761 
B8FBDD2BF934E2A8A31E29B976274D513007EF1269E4638B4F65F 

8FDEC740778BDC178AD7AF2968689B930D5A2359 

244 3.13 ^.28 ^j^Q^j ^ iD89C03FDEA8DlF889134A4F809B3F2a 

8207F2AD8213D169F2E99ECEC4FE08038900FOC203B55EE4F4C803 

BFB91^2AO4F11D9DB9DO76021764BG4F57D47834 

2" /S"* (mod«) = 41A83Ftl9FFE4A2F4A^^E5597A513QBEB4D4G 

08D19E597FD034FE720235894363A19D6BG5AF323D24B1B7FGFD8D 

FGG628021B4648D7EF757A3E461EF0CFF0EA13 




2"' . 3*" . D'" (mod n), soit 4" . 9^' . D'" (mod n) = 28AA7F12259BFBA8 
1368EB49C93EEAB3F3EC6BF73B0EBD7D3FC8395CFA1AD7FC0F9D 
AC169A4F6F1C46FB4C3458D1E37C99123B56446F6C928736B17B4BA 

4A529 

On retrouve bien rengagement/?. L'authentification est r6ussie. 
Signature num^rique 

Le mecanisme de signature num6rique permet ime entit6 appel^e 
signataire de produire des messages signes et a ime entit6 appel6e 
controleur de verifier des messages signes. Le message M est xme sequence 
binaire quelconque : il pent etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou d6fis, ainsi que les r^ponses correspondantes. 
Le controleur dispose de la m&ne fonction de hachage, des parametres k et 
m et du module n. Les paramfetres A et «i renseignent le contrdleur. D'une 
part, chaque d6fi 616mentaire, de a doit prendre une valeur de 0 i 2*"'- 
1 (les valeurs de v/2 k v-1 ne sont pas utilisees). D'autre part, chaque d6fi d 
doit comporter m defis elementaires not6s de </, a autant que de nombres 
de base. En outre, faute d'indication contraire, les m nombres de base, de 
a g„, sont les m premiers nombres premiers. Avec (A:-l).m valant de 15 a 20, 
on pent signer avec quatre triplets GQ2 produits en paralldle ; avec (A:-l).m 
valant 60 ou plus, on pent signer avec un seul triplet GQ2. Par exemple, 
avec A: = 9 et m = 8, un seul triplet GQ2 suffit ; chaque d6fi comporte huit 
octets et les nombres de base sont 2, 3, 5, 7, 11, 13, 17 et 19. 
L'operatioii de signature est une sequence de trois actes : un acte 
d'engagement, un acte de defi et un acte de r6ponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi d compose de m defis elementaires notes par d^, d^, ... d^ et.une 
reponse£) (9^ 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 



privee GQ2, c'est-a-dire, de la factorisation du module « selon I'une des 
trois representations evoqu6es ci-dessus. Au sein du signataire, on peut 
isoler un t^moin qui^ex^cute les actes d'eagagement et de reponse, de 
manidre a isoler les fonctions et les param^tres les plus sensibles du 
demonstrateur. Pour calculer engagements et r6ponses, le t^moin dispose du 
parametre A: et de la cle privee GQ2, c'est-^-dire, de la fectorisation du 
module n selon Tune des trois representations evoqu6es ci-dessus. Le 
temoin ainsi isole est semblable au t^moin defini au sein du demonstrateur. 
II peut correspondre a une realisation particulidre, par example, • une carte 
a puce reliee a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 
programmes particulierement proteges au sein d'lme^earte a puce. 

1) L'acte d'eng^g«pent comprend les operations suivantes. 

Lorsque le t6moin dispose des m valeurs privees de ^, h Q„ et du module /i, 
il tire au faasard et en priv6 un ou plusieurs al6as r (0 < r < n) ; puis, par k 
elevations *sucGessives au carre (mod n), il transforme chaque alea r en un 
engagem^t R. 

R = r^ (mod«) 

Lorsque le temoin dispose des / facteurs premiers de a Pj. et des m./ 
composantes privees Q.., il tire au hasard et en prive une ou plusieurs 
collections de / aieas : chaque collection comporte un alea par facteur 
premier p, (0 < r, < /?,) ; puis, par k elevations successives au carre (modp), 
il transforme chaque alea r, en ime composante d'engagement 

Ri=ry (mod/?,) 

Pour chaque collection de/composantes d'engagement, le temoin etabUt un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements quede collections d'aieasv. 

R = Restes Cliinois(/2j, R^, ... R) 

2) L'acte de defi consiste a hacher tous les engagements R et le message a 
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signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs d^fis comprenant chacun m defis elementaires ; 
chaque d6fi 616mentaire prend une valeur de 0 a v/2-1 ; par exemple, avec 
A: = 9 et m = 8, chaque defi comporte huit octets. II y a autant de d6fis que 

d'engagements. 

J = J, rfj . . . extraits du r6sultat Hash(M, R) 
3) L'acte de r^ponse comporte les operations suivantes. 
Lorsque la temoin dispose des m valeurs privies de a Q„ et du module «. 
il calcule une ou plusieurs reponses D en utiUsant chaque al^ r de I'acte 
d'engagement et les valeurs privees selon les d6fis Elementaires. 

X^Qt'.Qt'-Qi"' (modn) 
D^r.X (mod/i) 

Lorsque le tdmoin dispose des / facteurs premiers de p, a et des m.f 
composantes privies U calcule une ou plusieurs coUections de / 
composantes de reponse en utilisant chaque coUection d'al6as de I'acte 
d'engagement : chaque collection de composantes de r6ponse comporte une 
composante par facteur premier. 

Di^riXi (modp,) 
Pour chaque collection de composantes de rdponse, le temoin 6tablit une 
rdponse selon la technique des restes chinois. II y a autant de reponses que 
de d^fis. 

D = Restes Chinois(D„ D^^... 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement chaque 
defi d et chaque reponse Z), 

- ou bien, chaque engagement R et chaque reponse D correspondante, 

- ou bien, chaque d^fi d et chaque reponse D correspondante. 



Le deroulement de rop^ration de verification depend du contenu de 
rappendice de signature. On distingue les trois cas. 
Au cas oik Pappendice comprend untou plusieurs triplets, reparation de 
contrdle comporte deux processus independants dont la .ehronologie est 
indifF6rente. Le contrSleur accepte le message signi6 si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropri6e du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

RY\Gf'^D^ (mod n) oubien /? ._QGr' (mod «) 
1=1 '=1 
Par exemple, on transforme la reponse D par une sequence d' operations 
ei6mentaires^««ifc carr6s (mod ») s6par6s#ar.A^l multipUfstions ou divisions 
(mod n) par des nombres de base. Pour la i ieme multiplication ou division, 
qui s'effectue-^CTilTeile i ieme earre et le i+l ieme^carr^, le i i^me bit du d6£i 
el6mentaire indique s'il faut utiliser^,, le i idme bit du diSfi 61ementaire 
indique s'il faut utiliser^j, ... jusqu^au-i ieme bit du defi 616mentaiEe d„ qui 
indique s'il faut utiliser g^. On doit ainsi retrouver chaque engagement R 
present dans I'appendice de signature. 

D'autre part, le ou les triplets doivent 6tre li6s au message M. En hachant 
tons les engagements R et le message Af, on obtient un code de hachage ^ 
partir duquel on doit retrouver chaque defi d. 

d = d^d^... d^, identiques ^ ceux extraits du r6sultat Hash(M, R) 
Au cas ou rappendice ne comprend pas de d6fi, Toperation de contrdle 
commence par la reconstitution de un ou plusiexirs defis d' en hachant tons 
les engagements i? et le message Af. 

d' = d\d\... d'„, extraits du r6sultat Hash(M, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est v^rifi^e) et 



recevable (la comparaison se fait sur line vdeur non nuUe). 
rY\G-''^D^'' (mod n) oubien R^D^ Tl^^ ' 

Au cas oik I'appendice ne comprend pas d'engagement, Toperation de 
contrdle commence par la reconstitution de un ou plusiem^ engagements R' 
selon ime des deux fonnules suivantes, celle qui est appropri6e. Aucun 
engagement retabli ne doit dtre nul. 

R'=D^' /Yl^f' ^^^^^^ R'=D^ Tl^i' ^^^^ 

Ensuite, le contrdleur doit hacher tous les engagements ' et le message M 
de fa9on k reconstituer chaque d6fis d. 

d==d^d^... d^, identiques k ceux extraits du resultat Hash(A/, R *) 
Le contr61eur accepte le message sign6 si et seulement si chaque d6fi 
reconstitue est identique au defi conespondant figurant en appendice. 



Dans la presente demande, on a montre qu'il existait des couples de valeurs 
privee Q et publique G pennettant de mettre en oeuvre le proc6de, le 
systeme et le dispositif selon Finvention destine k prouver I'authenticite 
d'une entite et/ou rint6grit6 et/ou l'authenticit6 d'un message. 
Dans la demande pendante d6pos6e le m6me jour que la presente demande 
par France T616com, TDF et la Soci6t6 Math RiZK et ayant pour inventeurs 
Louis GuiUou et Jean-Jacques Quisquater, on a d6crit un proced6 pour 
produire des jeux de cles GQ2, a savoir, des modules n et des couples de 
valeurs pubUque G et privee g dans le cas ou I'exposant v est egal k 2*. EUe 
est incorpor6e ici par reference. 
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Cette description detaillee de T invention dans le cas ou v = 2^ est 
susceptible d'etre ^nBralisee a d'autres^ ^^aleurs de v. C'est d-ailleurs ce qui 
a ete expose, en contrepoint aux revendieations, dans les* premieres pages de 
la description concemant le cas ou v est different de 2*. Pour autant que cela 
soit nec^ssaire^ not^nment pour.des raisons ressortant des regies d'&riture 
d'lme demande de brevet, et qu'il faille 6galement dans cette partie de la 
description expliciter Tinvention dans le cas ou v est different de 2*, les 
premieres pages de la description seront egalement supposees avoir ete 
inserees a la suite de ce paragraphs 




Revendications 
1. Precede destine a prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- rintegritd d'lin message M associe a cette entity, 

au moyen de tout ou partie des parametres siiivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q2, ... et publiques Gj, Gj, 
G„j (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pj, P2, . Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|.Qi^sl .modnouGiSQj^modn; 

ledit procede met en ceuvre selon les etapes suivantes une entite appel6e 
temoin disposant des f facteurs premiers Pi et/ou des paramdtres des restes 
chinois des factexirs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des f.m composantes j (Qj^ j = Qj mod pj) des valeurs 
privees Qj et de Texposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule en efFectuant des operations 
du type 

R|Sr|^modpi 

ou Fi est im alea associe au nombre premier pj tel que 0 < Fj < pj , chaque 
appartenant a ime collection d*aleas {Fj , , ... f^} , puis en appliquant la 
methode des restes chinois, 

- le temoin re^oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D en effectuant des operations du type : 

I>i = r, . Qi,i . Qu Qi,™ ^ mod r 
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puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements chaque groupe de nombres d, D constituant un 
triplet note {R, d, D}. 

2. Precede selon la revendication 1 destine a prQuver T authenticity 
d*une entite appelee d^monstrateur k une entite appelee controleur, ladite 
entite demonstrateur comprenant le tSmoin ; 

lesdites entit6s demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrateur transmet au controleur*.. tout ou partie de chaque 
engagement R, 

• etape.2 :tacte de defi d 

- le contrdleur, apres avoir re§u tout ou paEtie de ?» chaque engagement R, 
produit des defis d en nombre egal^au nombre d'engagements R et 
transmet les defis^d au demonstratetart^ 

• 6tape 3 : acte de r^ponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de contrdle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas oil le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou le defflonstrateur a transmis une partie de chaque 
engagement R, le controlexir, disposant des m valeurs publiques Gj, Gj, ... 
G^, calcule a partir de chaque defi^ d et de chaque reponse D un 
engagement reconstruit R* satisfaisant4 une relation du-type : 

R'sGi **^G2'*^....G„*".D^modn 
ou a xme relation du type. 




= D V Gi ^^ ^. • . . G„ ^ . mod n , 
le controleur verifie que chaque .engagement reconstmit reproduit tout 
ou partie de chaque engagement R qui lui a 6t6 transmis, 
cas oili le demonstrateur a transmis l'mt£gralit6 de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis T integrality de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gj, G2, ... 
G^, verifie que chaque engagement R satisfait a xme relation du type : 

RsGj ^\G2**^.-G„,'*™.D^modn 
ou a une relation du type, 

R s D V Gi G2 ^. . . . G„ . mod n . 
3. Precede selon la revendication 1 destine a prouver a xme entite 
appelee controleur rintegrit^ d'un message M associe a ime entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleiu" executant les Stapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1, 

• £tape 2 : acte de defi d 

- le demonstrateur applique xme fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins xm jeton T, 

- le demonstrateur transmet le jeton T au contrdleur, 

- le controleur, apres avoir refu un jeton T, produit des defis d en nombre 
egal au nombre d'engagements R et transmet les d6fis d au demonstratexir, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• £tape 4 : acte de controle 
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- le demonstratevir transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques G^, Gj, •.. G^, calcule a 
partir de ohaque d6fi d et de ehaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = Gi Gj G„ D^rnsdn 
ou a une relation du type : 

R'=DVGl^^G2^....G„*". modn 

- puis le contr61eur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Precede selon la revendication 1 destine a produke^la signature 
nxunerique^d'un message M p^ une entity appelee entite sign&taireirladite 
entity signataire comprenantle temoin ; 

ladite .en1it6 . sigQ3;tai!Fe e une -operation; de^ signature v en^ vue 

d'obtenir un message signe comprenant : 

- le message^lV^^ 

- les defis d et/ou les engagements R, 

- les r^ponses D ; 

ladite entite signataire execute T operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• ^tape 2 : acte de defi d 

- le signataire applique une fonction de hachage h ayant connne arguments 
le message M et chaque engagement R pour obtenir-un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre 6gal au 
nombre d' engagements R, 



• £tape 3 : acte de r^ponse D 

- le t6mom calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1. 

5. Proc6d6 selon la revendication 4 destine a prouver Tauthenticite 
du message M en contrdlant, par une entite appel^e contrdlenr, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas oil le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les d6fis d et les 
reponses D satisfont k des relations du type 

R = G/^ G2 G„ mod n 

ou a des relations du type : 

R = DVGi ^^G2^....G„*"- modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des d6fis d et des reponses D 

dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controleiu- reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 

R' = Gi ^^ G2 G^ ^ . mod n 
ou a des relations du type : 

R'=D^/Gl^^G2^•...G„**™. modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 




56 



57 



d = h(M,R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 
dans le cas ou le controleur dispose des engagements R et desTeponses D, 

• • le contrdleur applique la fonction de hachage et reconstruit d' 

d'=h(M,R) 

• • le controleur v^rifie que les engagements R, les d6fis d' et les 
reponses D, satisfont a des relations du type : 

R= Gi ^'^ . G2 ^ ... G„ ^'^ . mod n 
ou a des relations du type : 

R = DVG, ^^G2''^...G„^'""• modn 

6. Procede selon Tune quelconque des revendications 1 a 5 tel que 
les composantes Qi 1 , Qj^,, Qj^i^des^aleurs privees*^Q|.;^^ 

tires au basard a i^s©^ 4'uiig^ompi9i^ant!^^ Qi^mod^jj) pour 

chacun desdits facteurs premiers pj, Jps^tesr^aleurs ^^pri^^es- Q, ■ pouvant 
etre calepMes^a partk^desdites^teompo^saintes^Q^ , Q^^ ... par la 
methode des?^i?estes chmois^ 
lesdites-*valeurs^pu]>>l^ues^@i|ieta£L^ 

• en effectuant des operations du type 

Qi,rmodpj 

• puis en appliquant la methode des restes chinois pour etablir G| tel que 

Gj . Qi'' = 1 . mod n ou Gj = Qj^'mod n ; 

7. Procede selon la revendication 6 tel que Texposant public de 
verification v est vm nombre premier, 

8. Precede selon I'une quelconque des revendications 1 a 5 
ledit exposant V etant tel que 

v = 2^ 

ou k est^jon param@tre«de secuirite pliasi^grand^ ; 

ladite valeur publique Gj etant le carr6 d'lm nombre de base g| inferieur 
aux f facteurs premiers Pi, P25 . Pf ; le nombre de base g. etant tel que : 




les deux equations : 

x^^giHiodn et x^s.g,modii 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

= mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

9. Systeme destine a prouver a im serveur controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'xm message M associ6 a cette entity, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q„ Q25 Qm et publiques G„ Gj, 
G„ (m 6tant superieur ou egal k 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2^ • • • Pf etant superieur ou egal a 2), 

- xm exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|. Qi^ = 1 - mod n ou Gj s Q.'^mod n ; 
ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers pj et/ou des parametres des restes chinois des facteurs premiers 
et/ou du module public n et/ou des m valevirs privees Qj et/ou des fjn 
composantes Qj^j (Qjj = Qimod pj) des valeurs privees Qj et de T exposant 
public v ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
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production d'aieas du dispositif temoin, 

- des moyens de calcul, ci-apres design^s les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n ; chaque engagement etant calculi en 
effectuant des operations du type 

Rj s Fj"' mod Pi 

ou F; est im alea associe au nombre premier pj tel que 0 < r. < pj , chaque Fj 
appartenant a une collection d'aleas {Fj , r2 , ... r^} produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reeeptio% ^ ci-apres' -designes les moyens de 
reception des^defi§ d du dispositif lemoin^H^.pour<:recevQir, im ou plusieurs 
defis d ; chaque^ defivd comportant m entiers dj ci-apri;s appeles defis 
elementaires |< 

- des ^moyens de calcul, ci-apres^ designis les moyens de calcul des 
reponseS'i'D du dispositif temoin, pouF calculcF^a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

I>i ^ . Q^, . Q^, ^\ ... mod p, 

puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieius 
engagements R et une ou plusieurs r^ponses D ; 

il y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R/d, D constituant un triplet not6 {Ri d, D}. 

10, Systeme selon la revendication 9 destine a prouver Tauthenticite 
d'une entite appelee demonstrateur a une entite appelee«Gontr61eur ; 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a T entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 



moyens d'intercoimexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans iin objet nomade par exemple sous la 
fonne d'un microprocesseur dans une carte bancaire a microprocesseur, 

- \m dispositif contrdleur associ6 a Tentitfe contr61eur ; ledit dispositif 
controleur se presentant notamment sous la forme d*xm terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif d^monstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• 6tape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
controleur, via les moyens de connexion ; 

• ^tape 2 : acte de d^fi d 

le dispositif controleur conaporte des moyens de productions de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des 
defis d en nombre egal au nombre d' engagements R, 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur. 



• etape 3 : acte de r^ponse D 

les moyens de reception des defis d du dispmitif temok; re^oivent chaque 
defi d provenant du dispositif^^ d6m©nstirateiir, via les moyens 
d'interconnexion, 

les moyens de calGul des reponses D du dispositif temoin^ calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 9, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur 

le dispositif controleur comporte aussi 

- des^moyens-^de caleut ci-^apHes-^d^signes les^^inoyens-^4^^ du 
disposi1i£vconts@lw^ 

- des^m0iya;ns«^de^:comparaison^ciTap]ies««desi^|^^ de 
compamson»du^dis|)osM#@l3ntr61^ 

cas DU le^d£tnonsta^ateuis»atrammist«une^pa«^ R 
dans le ^as«r©u«res*»m0yeiffi««de ^transmission 

ime partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs pubiiques G„ Gj, ... calcident a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R'sG/^G2^....G„*".D^modn 

ou a une relation du type, 

R' = / G, " . Gj ^. . G„ ^ . mod n , 
les moyens de comparaison du dispositif contrdleur comparent chaque 
engagement ree©nsti?uit*R^:k tout ou paitie de chaque engagement R refus, 
cas ou le demonstrateur a transmis Pint^gralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 



62 



rintegralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
d, Gj, — G„, v6rifient que chaque engagement R satisfait a xme relation 
du type : 

R = G/^ G2 ^. ... G„ . modn 

ou a une relation du type, 

Rs DVG/* . G2 ^. ... G^ ^ . modn . 

11. Systeme scion la revendication 9 destine a prouver k une entite 
appelee controleur Tintegrite d'xm message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a I'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la 
forme de microcircuits logiques dans un objet nomade par exemple sous la 
forme d'un microprocesseur dans ime carte bancaire k microprocesseur, 

- xm dispositif contrSleiu- associ6 a I'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d*vm terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif d6monstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
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tout ou partie de chaque engagement R aii dispositif demonstrateur, via les 
moyens d'interconnexion ; 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
d6sign6s les moyens -de calcul du dispositif demonsteateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir repu le jeton T, lesnidefis d en nombre egal au 
nombre d'engagepients R , 

le dispositif QontFoleur comporte aussi^des moyens. de^transmission, ci-apres 
designes les - moyens de transmission du ^^ dispQsiti€^:contrdleur, pour 
transmettre lesrdefiisid au demonstEateu!]?, 

• £tape 3 : acte de r^ponse D 

les moyens de reception des d6fis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 9, 

• ^tape 4 : acte de contrdle 

les moyens de^^trainsmission du demonstrateur transmetteBt>*chaque r^ponse 
D au contrSleur^ 

le dispositif contrdleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcxil du dispositif controleur, disposant des m 
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valeurs publiques G^, Gj, ... G„, pour d'une part, calculer a partir de 
chaque d6fi d et de chaque r6ponse D un engagement reconstruit R' 
satisfaisant k une relation du type : 

R' = Gi . Gj ^, ... G^*^. D'modn 
ou k une relation du type : 

R'sD^/G,".G2'"....G„*". modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T', 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
d6sign6s les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T regu. 

12. Systeme selon la revendication 9 destine a produire la signature 
num^rique d'un message M, ci aprSs d^sign6 le message sign6, par une 
entit6 appel6e entite signataire, 
le message sign6 comprenant : 

- le message M, 

- les d6fis d et^ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte \m dispositif signataire associ6 k 
Tentite signataire, ledit dispositif signataire etant interconnecte au 
dispositif t6moin par des moyens d'interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systdme permettant d'executer les Stapes suivantes : 
• ^tape 1 : acte d*engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 



selon la revendication 9, 

le dispositif temoin compoite des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R au dispositif signataire, via les moyens 
d'intercozmexion; 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme argxaments le message M et chaque engagement R 
pour calculer im train binaire et extraire de ce train binaire des defis d en 
nombre egal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception 4es defis d , re9oivent ehaque defi d provenant du 
dispositif signataire^ via les^moyens d^interconnexion, 
les moyens de calculi des*^reponses%D du -dispositif temoin . ©aleulemt les 
r^ponses D k partir des defis d en appliquant le processus sp^i^^ selon la 
revendication 9, 

le dispositif t6moin comporte des moyens de transmission, ci-apres designes 
les moyens de transmission du dispositif temoin, pour transmettre les 
reponses D au dispositif signataire, via les moyens d' interconnexion. 

13. Systeme selon la revendication 11 destine a prouver 
Tauthenticite du message M en controlant, par une entite appelee 
controleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif contrSleur associe a 
Tentite controleur ; ledit dispositif controleur se presentant notamment 
sous la forme d'lm termanal ou d'un serveur distant^ ; ledit dispositif 
controleur comportant des moyens de connexion pour le connecter 
61ectriquement, electromagnetiquement, optiquement ou de maniere 
acoustique, notamment via un reseau de commimication informatique, au 
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dispositif demonstrateur ; 

leditdispositif signataire associe a Tentite signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'lm message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif contrdleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controlexir, 

• cas ou le controleur dispose des engagements R, des defis d, des 
r^ponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

Rh Gi ... G„ ^"^ . D^mod n 

ou a des relations du type : 

RsDV Gj . Gj ... G„ . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (M, R) 

• cas ou le controleur dispose des defis d et des reponses D 
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dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R'^satisfaisant a 
des relations du type : 

= Gi " . G2 ^. ... G„ . mod n 

ou a des relations du type : 

R' = DVGl^^G2^....G„^™. modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h(M,R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif controleur dispose-^des engagements R et des 
reponses D, 

•• les moyens: 4e calcul du dispositif controleur appliquent la 
fonction de Meb^ege* ealoulenl^d^^iesl que- - 

d'=^h(M,R) 

• • les moyens ide ealGul^^et de eomparaison*'-ducdisposilif contrdlew 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, . Gj ^'l ... G^ ^'"^ . mod n 
ou a des relations du type : 

R = DVG/^G/^...G^*''™. modn 
14. Systeme selon Tune quelconque des revendications 9 a 13 tel 
que les composantes Qi, 1 , Qi, 2 5 ••• Qi, f des valeurs privies Qj^ sont des 
nombres tires au hasard a raison d*une composante Qj j (Qi^ j = Qj mod pj) 
pour chacun desdits facteurs premiers Pj, jesdites valemsr privees Qj 
pouvant etre calcidees a partir desdites composantes^Qi^ j , Qj^^ ••• Qi, f par 
la methode des restes chinois, 
lesdites valeurs publiques Gj, etant calculees 
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• en effectuant des operations du type 

• puis en appliquant la m6thode des restes chinois pour etablir Gj tel que 

G,. Qi"" s 1 . mod n ou G, s Qj^mod n ; 

15. Systeme selon la revendication 14 tel que I'exposant public de 
verification v est un nombre premier, 

16. Systeme selon Tune quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

oil k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre %^ d'lm nombre de base & inferieur 
aux f facteurs premiers Pi, P29 • Pr ; le nombre de base & etant tel que : 

les deux equations : 

x^ = gimodii et x^s-gmodn 
n'ont pas de solution en x dans Taimeau des entiers modulo n 
et tel que : 

Tequation : 

= mod n 

a des solutions en x dans Tanneau des entiers modulo n . 

17. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver k dispositif controleur, 

- Tauthenticite d'xme entite et/ou 

- rintegrite d'xm message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... Qm et publiques Gj, Gj, ... 
G„ (m etant superieur ou egal a 1), 

- xm module public n constitue par le produit de f facteurs premiers 
Pi, P2, ... Pf (f etant superieur ou egal a 2), 
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- un exposant public v ; 
ledit module, ledit exposant et lesdites valeurs ^tant lies par des relations du 
type : 

G| . Q,'' = 1 . mod n ou G, = Qj^mod n ; 

ledit dispositif termtoal comprend un dispositif temoin comportant une 
zone m^moire contenant les f facteurs premiers p, et/ou des paramdti^s des 
restes chinois des facteurs premiers et/ou du module public n et/ou des m 
valeurs privees Qj et/ou des f.m composantes Q,^ j iQi,i = Qi des 
valeurs privees Qj et de Texposant public v ; 
le dispositif temoia comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleasndiadispositift^moin^,:- 

- des moyens de calcul, ci-apr^s^desii^sales vmoyens?4e calcul des 
engagements R du^di^ositif t^moin^poijiiEE^calculer des. engagements R dans 
Tanneau' desotentiersmnodiilo n ckacqiiieHiieng'agtjaent'' etaial^cal en 
effectuant des^operalions-'du type 

ou Fi est un al6a associe au nombre premier tel que 0 < < p, , chaque r, 
appartenant a une collection d'al6as {r, , rj , ... rj produits par les 
moyens de production d'aleas, puis en appliquant la methode des restes 
chinois ; 

le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de 
reception^ des dMs d du dispositif temoin, pour recevoir m ou plusieurs 
defis d ; chaque d^fi d comportant m entiers d, ci-apres appeles d6fis 
eldmentaires ; 

- des moyens de calcul^ ci^^r^-d6sign^s les^moyens .de^calcul des 
reponses D du dispositif temoin, pour calculer k partir de chaque defi d une 
r6ponse D en effectuant des operations du type : 



D, s r, . Qi,/' . Q,^ . . . Qi,m mod Pi 

puis, en appliquant la m6thode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs r6ponses D ; 

U y a autant de reponses D que de defis d que d'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet not6 {R, d, D}. 

18. Dispositif terminal salon la revendication 17 destine k prouver 
I'authenticite d'une entite appelee demonstrateur a une entite appel6e 
controleur ; 

ledit dispositif terminal 6tant tel qu'il comporte un dispositif demonstrateur 
associe a I'entit^ demonstrateur, ledit dispositif demonstrateur etant 
interconnects au dispositif t6moin par des moyens d'interconnexion et 
pouvant se pr6senter notamment sous la foime de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire k microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour 
le connecter electriquement, Slectromagnetiquement, optiquement ou de 
manier^ acoustique, notamment via un r6seau de communication 
infoimatique, a un dispositif contrSleur associe a I'entite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un teraiinal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• etape 1 : acte d' engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
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moyens d'interconiiexion ; 

le dispositif demonstrateur comporte aiissi des mbyeiis de transmission, ci- 
apres designes les moyens de transmission dii. demonsta?ateiir, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
5 controleur, via les moyens jle connexion, 

• etape 2 et 3 : acta de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, resolvent chaqne 
defi d provenant du dispositif controleur via les moyens de coimexion 
entre le dispositif controleur et le dispositif demonstrateur et via les moyens 
10 d'interconnexion entre le dispositif demonstrateur et le dispositif temoin, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D apa^ir des defis . d en ^appliqitant le proeessus. speeifie selon la 
revendication 17, 

• ^tape 4 : acte de^eontrdle 

15 les moyens de transmission du demonstrateur transmettent chaque reponse 

D au dispositif controleur qui procede.au contrdle. i 

19, Dispositif terminial^seloa la uevendieation 17 destioii^si prouver a 
une entite appelee controleur Tintegrite d'xm message M associe a une 
entite appelee demonstrateur, 

20 ledit dispositif terminal etant tel quMl comporte un dispositif demonstrateur 

associe a Tentite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d'interconnexion et 
pouvant se presenter notanmient sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un miCroprocesseur 

25 dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens^de connexion pour 
le connecter electrifuement, electromagnetiqueme^^^^^^ ou de 

maniere acoustique, notamment via un reseau de communication 
infonnatique, a un dispositif controleur associe a Tentit^ controleur ; ledit 
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dispositif contrdleur se pr6seatant notamment sous la fonne d'un terminal 
ou d'un serveur distant ; 

ledit dispositif tenninal permettant d'ex6cuter les stapes suivantes : 

• £tape 1 : acte d'engagement R 

- k chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus sp6cifi6 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apr^s 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstiateur, via les 
moyens d' interconnexion ; 

• 6tape 2 et 3 : acte de d€fi d, acte de r^ponse 

le dispositif d6monstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
d6fi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D partir des defis d en appliquant le processus specific selon la 
revendication 17, 

• etape 4 : acte de contrSle 
les moyens de transmission du demonstrateur transmettent chaque r^ponse 
D au dispositif controleur qui procede au contrSle. 
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20. Dispositif tenninal selon la revendication 17 destine a prodxiire la 
signature numerique d'lin message M, ci apres designe le message signe, 
par une entite appelee entite si^ataire, 
le message signe comprenant : 

- le messag^«M*f^< 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif tenninal etant tel qu*il comporte un dispositif signataire 
associe a Tentite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens dMnterconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d*im microproeesseur dans>rune carte bancaire a 
microprocesseur, 

ledit dispositif signataire compoaant des- moyens de connexion pour le 
connecter eleetriquement, eleet^omagnetiquementj optiquement ou de 
maniere - acoustique^' notamment via un -reseau de communication 
informatique, a un dispositif ^eontroleur ass©©ie a T entite conteoleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'xm tenninal 
ou d'un serveur distant ; 

ledit dispositif tenninal permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-apr^ design6s 
les moyens de transmission du dispositif temoin, pour transmettre tout ou 
partie de chaque engagement R "au dispositif signataire, via les moyens 
d'interconnexion; 

• £tape 2 : acte de d^fi d 
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le dispositif si^ataire comporte des moyens de calcul, ci-apres d6sign6s les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des d6fis d en 
nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 
les moyens de reception des defis d re9oivent les d6fis d provenant du 
dispositif signataire, via les moyens d' interconnexion, 
les moyens de calcul des r^ponses D du dispositif temoin calculent les 
reponses D ipartir des defis d en appliquant le processus sp6cifi6 selon la 
revendication 9, 

le dispositif t6moin comporte des moyens de transmission, ci-apres d6signes 
les moyens de transmission du dispositif temoin, pour tiansmettre les 
reponses D au dispositif signataire, via les moyens d'interconnexion. 

22. Dispositif contrdleur, se presentant notamment sous la fomie 
d'un tenninal ou d'un serveur distant, associ6 k une entity contrdleur, 
destine a prouver a vm serveur controleur, 

- I'authenticite d'une entite et/Ou 

- I'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valenrs privees Q^, Q2, .... Qm et publiques G^, G^, ... 

Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 

Pi, P2» — Pf ^t^* superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs 6tant Ues par des relations du 

type : 

Gj . Qr = 1 . mod n ou G| = Qi mod n ; 
ou Q, designe une valeur privee, incomiue du dispositif contrdleur, 
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associee a la valeur publique Gj . 

23. Dispositif controleur selon la revendication 22 destine k prouver 
Tauthenticite d'une entite appelee demonstrateur a una entity appel6e 
controleur ; 

ledit dispositif controleur comportant des moyens de conaexion pour le 
connecter 61ectriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etape 1 et 2 : acte d'engagement R, acte de d^fi 

ledit dispositif eontroleuir comporte aussi des moyensv^e reception de tout 
ou partie desf^ngag(?ments R provenanfedu disposdti!£.d^m0nsjteaieur, via les 
moyens de eonnexi^n- 

le disposi1i#i3ontroleur«e;ompo d6fis pour 

produirei-apres avoip repuvtout^ou partie de chaqu^r engag^ent R, des 
defis d en nombre ^'^gal au nombre d*engagements-^R^ chaque^^^d d 
comportant m entiers dj , ci-apres appeles defis elementaires 
le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse, acte de contrdle 
le dispositif controleur comporte aussi 

- des moyeiis*€fe reception des reponses D provenant du di^ositif 
demonstrateur, via les-?moyens de connexion, 

- des moyensi^de calcul, ci-apres designes les moyens d^ calcul du 
dispositif contr61eu% 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 



cas oil le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou les moyens de reception du dispositif controleur ont re?us 
une partie de chaque engagement R, les moyens de calcul du dispositif 
ccntrSleur, disposant des m valeurs publiques Gi, G^, ... G^ calculent ^ 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 

R' satisfaisant a une relation du type : 

R' = G/^ Gj G„ . mod n 

ou a xme relation du type, 

R» = DV G/^ G2 G„ mod n , 

les moyens de compaiaison du dispositif contrdleur comparent chaque 
engagement reconstruit R' k tout ou partie de chaque engagement R re^us, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 

R 

dans le cas oil les moyens de reception du dispositif contrdleur ont re^us 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gi, G2, ... G^ verifient que chaque engagement R satisfait a une relation 
du type : 

R s G, " . Gj . . . G„ . D' mod n 

ou a une relation du type, 

R=DVGi«.G2« ...G^'^.modn. 

24. Dispositif controleur selon la revendication 22 destine a prouver 
rintegrite d'un message M associe une entity appelee demonstrateur, 
ledit dispositif contrdleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un r^seau de communication 
informatique, a un dispositif demonstrateur associ6 k Tentite 
demonstrateur; 

ledit dispositif controleur permettant d'executer les Stapes suivantes : 



• etapes 1 et 2 : acte d'engagement R, acte de defi 

ledit dispositif controleur comporte aussi des moyens de reception de 
jetons T provenant du demonstrateur, via les moycBs de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apr^s avoir re9u le jeton T, des defis d en nombre 6gal au 
nombre d'engagements R , chaque d6fi d comportant m entiers, ci-apres 
appeles les defis elementaires, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
design6s les moyens de transmission du dispositif controleur, pour 
transmettre les defis d au demonstrateur, via les moyens de connexion, 

• etapes 3 et 4 : acte de reponse D, acte de controle 
le dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant -du dispositif 
demonstrateur, via lesrmoyens de feonnexion,^ 

le dispositif contrdtetiu^eomporte aussi^ 

- des^moyens rde calcul, ci-apres designes4esN^moyens -de calcul du 
dispositif contrdleuFi^disposantdes-mvaleurspubliques.^^^^^ G„, pour 
d'une part, calculer a partir de chaque defi d et de chaque reponse D un 
engagement reconstrait R' satisfaisant a une relation du type : 

R' = G/^ . • . . mod n 
ou a une relation du type : 

R' = DVG/^G/l...G„*". modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes - Jes** moyens de--compaasa^^^ dispositif contrdleur^ pour 

comparer le jeton T' au jeton T repu. 

25. Dispositif controleur selon la revendication 22 destine a prouver 
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l'authenticit6 dti message M en controlant, par une entite appelee 
contrdleur, le message signe; 

le message signe, emis par un dispositif signataire associe k une entity 
signataire disposant d'une fonction de hachage h (M, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter 61ectriquement, electromagn6tiquement, optiquement ou de 
mani^ acoustique, notamment via un reseau de communication 
infonnatique, k un dispositif signataire associe k Tentite signataire ; 
ledit dispositif contrdleur ayant re9u le message sign6 du dispositif 
signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcul, ci-aprds d6sign6s les moyens de calcul du 

dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas oil le contrdleur dispose des engagements R, des defis d, des 
r^ponses D, 

dans le cas oti le dispositif contrSIeur dispose .des engagements R, des defis 

d, des r^ponses D, 

• • les moyens de calcul et de comparaison du dispositif contrdleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = . G2 ... G„*» . D^modn 

ou a des relations du type : 

RsD''/Gi".G2'"....G„'^. modn 

• • les moyens de calcul et de comparaison du dispositif controleur 
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verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage • 

d = h(M^R) 

• cas oil le contrdleor dispose des d^fis d et des r^ponses D 

dans le cas ou le dispositif contrSleur dispose des defis d et des-reponses D, 

• • les moyens de calcul du dispositif controleur calculent, k partir de 
chaque d6fi d et de chaque r6ponse D, des engagements R» satisfaisant k 
des relations du type : 

R' = Gi ''^ G2 . . . G„ . mod n 
ou a des relations du type : 

R' = DVGi«.G2'^....G„«"". modn 

• • les moyens denealcul et de comparaisen du ^dispositif contrdleur 
verifie que le message M"*et les4efis^d satisfont a la fonction. de hachage 

d =F h (M|»R»i)V 

• cas-^o^ le ;coii>trdleuvedisfrarse«des4eng9gfejnexi4s R "ilti^ D 
dans le cas 011 le dispositif ^ontrdleur dispose des- engagements R et des 
reponsesiD/ 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (M, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les d^fis d' et les r6ponses D, satisfont a 
des relations du type : 

R s » . Gj "'^ . . . G„ . mod n 
ou^ des relations du type : 
RsD^:/G/'».G2''^...G„''''". mod-n 



Revendications 
1. Precede destine a prouver a une entite controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Qm ®t publiques Gi, G2, ... 
G,„ (m etant superieur ou 6gal k 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> Pf etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G| . Qi"" s 1 . mod n ou G| s Qj'' mod n ; 
ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers pi et/ou des parametres des restes 
chinois des facteurs premiers et/ou du module public n et/ou des m valeurs 
privees Qj et/ou des f.m composantes Q|,j (Qi. j ^ Qimod Pj) des valeurs 
privees QjCt de Texposant public v ; 

- le temoin calcule des engagements R dans I'anneau des entiers 
modulo n ; chaque engagement etant calcule en effectuant des operations du 
type 

Ri = Fi'^mod Pi 

ou Fj est un alea associe au nombre premier pj tel que 0 < r,< pj , chaque Tj 
appartenant a une collection d'aleas , , ... r^} , puis en appliquant la 
methode des restes chinois, 

- le temoin re9oit un ou plusieurs defis d ; chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir 
de chaque defi d une reponse D en effectuant des operations du type : 

Di ^ n . Qi,i . Qi,2 Qi.m ^™ mod Pi 



puis en appliquant la methode des restes chinois ; 

ledit precede etant tel qu'il y a autant de reponses D que de-defis d que 
d'engagements R, chaque groupe de nombres >R, d, D constituant un triplet 
note {R, d, D}: 

2. Proeede selon la revendication 1 destine k prouver Tauthenticite 
d'une entite appelee demonstrateur a une entite appelee controleur, ladite 
entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1, 

- le demonstrateur transmet au controleur tout ou^partie de chaque 
engagement R, 

• etape 2 : acte^e^efi d 

- le controleur,. apres avoir re^u tout».0u paFt4e»§dei chaque ^engagement R, 
produit des defis d'- en nombre egal au nombre d'engagements R et transmet 
les defies d au. demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• etape 4 : acte de contrdle 

- le demonstrateur transmet chaque reponse D au controleur, 

cas on le demonstrateur a transmis une partie de chaque engagement R 
dans le cas oij le demonstrateur a transmis une partie de chaque engagement 
R, le controleur, disposant des m valeurs publiques Gi, G2, ... G„, calcule a 
partir de chaque defi d et de chaque reponse-D un engagement^reconstruit 
R' satisfaisant a une relation du type : 

R' s G/^ G2 ""K... G„ . mod n 
ou a une relation du type. 
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R' s DV G^ . G2 . mod n , 

le controleur verifie que chaque engagement reconstruit reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demonstrateur a transmis I'integralite de chaque engagement 
R 

dans le cas oii le demonstrateur a transmis Tintegralit^ de chaque 
engagement R, le controleur, disposant des m valeurs publiques Gi, G2, •.. 
Gm, verifie que chaque engagement R satisfait a une relation du type : 

R ^ Gi G2 . G„ . mod n 
ou a une relation du type, 

R s DVGi G2 ... G^^" . mod n . 
3. Precede selon la revendication 1 destine a prouver une entile 
appelee controleur Tintegrite d'un message M associe h une entite appelee 
demonstrateur, ladite entite demonstrateur comprenant le temoin ; 
lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific selon la revendication 1, 

• etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur; 

- le controleur, apres avoir re9U un jeton T, produit des defis d en nombre 
egal au nombre d'engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1, 

• etape 4 : acte de controle 
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- le demonstrateur transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques Gi, G2, ... G„, calcule a 
parti r de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' ^G,^'. G2 ^\ ... G„ . mod n 
ou a une relation du type : 

R' ^ D V G, G2 . . . G„ ^ . mod n 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T', 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Proeede selon la revendieationr l destine^^ produire la signature 
numerique d'un messag^^ par une entiti appelefeien^^^^^^^ ladite 
entite signataire comprenant le temoin ; 

iadite entite signataiFe-exeeute une operation de^signate d'obtenir 
un message sign6 comprenant : 

- le message^M^ 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ladite entite signataire execute Toperation de signature en mettant en oeuvre 
les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specif r^seloli la revendication 1, 

* etape 2 : acte de defi d 

- le signataire applique une fonction de hachage^^h ayant corametarguments 
le message M el chaque engagement II pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d 'engagements R, 
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• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specific selon la revendication 1. 

5. Precede selon la revendication 4 destine a prouver Tauthenticite 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas oil le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R s Gi ^^ G2 . . mod n 
ou a des relations du type : 

RsDVGi*'^G2*'....G„*". modn 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h (M, R) 

• cas oil le controleur dispose des defis d et des reponses D 
dans le cas ou le controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant k des relations du type : 

R' ^G^^K G2 ... G„ • mod n 
ou a des relations du type : 

R'^DVGl^^G2^. ...G^^. modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 




d = h (M, R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 
dans le cas ou le controleur dispose des engagements « et des reponses D, 

• • le controleur applique la fonction de hachage et reconstruit d* 

d' = h(M,R) 

• • le contrdleur verifie que les engagements R, les defis d* et les 
reponses D, satisfont a des relations du type : 

R = G, . G2 ... G„ . mod n 
ou k des relations du type : 

R ^ DV G, . G2 '\ ... G„ . mod n 

6. Precede selon I'une quelconque des revendications 1 a 5 tel que 
les composantes Qi, 1 , Qi,2 , ... Qi. r des valeurs privees Qj, sent des 
nombres tires au hasard a raison d'une compos ante QijXQi,j s Q,mod pj) 
pour chacun desdits facteurs premiers pj, lesdites- valeuifs privies Q, 
pouvant atre calculees^^ partLr*desditeS'jeomp0san.tes-iQ,..j„ , Q,^^ ... Qi,f par 
la methodC'desTestes chinois, " 

lesdites valeuFS publiques'Gil eta'nt cal'Gul^eS' 

• en effectuant des operations du type 

G|.j a Qi.j'' mod Pj 

• puis en appliquant la m^thode des restes chinois pour etablir Gj tel que 

G|. Qi^ s 1 . mod n ou Gj s Qj^mod n ; 

7. Precede selon la revendication 6 tel que I'exposant public de 
verification v est un nombre premier, 

8. Precede selon Tune quelconque des revendications 1 a 5 
ledit exposant v etant tel que 

v = 2'' 

oil k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gi etant le can-e d'un nombre de base & inf^rieur 
aux f facteurs premiers pi, pi, ... Pf ; le nombre de base & 6tant tel que : 




les deux equations : 

x^5g,modn et x^s-gjmodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Tequation : 

x'' s g.^ mod n 
a des solutions en x dans I'anneau des entiers modulo n . 

9. Systeme destine a prouver a un serveur controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... Qm et publiques G^, G2, ... 
G„ (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P25 Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|. Qi"" s 1 . mod n ou Gj s Qj^'mod n ; 
ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 

le dispositif temoin comporte une zone memoire contenant les f facteurs 
premiers Pi et/ou des parametres des restes chinois des facteurs premiers 
et/ou du module public n et/ou des m valeurs privees Qs et/ou des f.m 
composantes Qj^ (Qj^j s Qimod pj) des valeurs privees QjCt de I 'exposant 
public V ; 

le dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 




production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres d^signes les moyens de calcul des 
engagements R du dispositif temoin* pour calculer des engagements R dans 
I'anneau des entiers modulo n ; chaque engagement 6tant calculi en 
effectuant des operations du type 

Ri = Ti^mGd Pi 

ou r, est un alea associe au nombre premier p; tel que 0 < < p, , chaque r, 
appartenant a una collection d'aleas {r, , , ... Tf} produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs d^fis" d ; 
chaque defi d comportant m entiers dj ci-apres apptlessdefeelementaiiies ; 

- des moyens de calcul, ci-apr6s ddsign6s les moyens de calcul des 
r^ponses D du dispositif temoin, pour calculer a partir de ©haque defi d une 
reponse D en effectuant* des operations du type : 

Di ^ n . Q.,, . Q„ ... „ ihod p, 
puis, en appliquant la methode des restes chinois ; 

- des moyens de transmission pour transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d 'engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

10. Systeme selon la revendication 9 destine a prouver I'authenticite 
d'une entite appelee demonstrateur a une entity appel^e contrSleur ; 
ledit syst&me etant tel qu'il comporte 

- un dispositif demonstrateur associe k I'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d 'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 



d'un microprocesseur dans une carte bancaire k microprocesseur, 

- un dispositif controleur associ6 a l'entit6 contrSleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif contrSleur comportant des moyens de 
connexion pour le connecter electriquement, 61ectromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un r6seau de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• 6tape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

- le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designe les moyens de transmission du dispositif demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 

• ^tape 2 : acte de defi d 

le dispositif contrSleur comporte des moyens de productions de d6fis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d'engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
deAs d au demonstrateur, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re9oivent chaque 
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defi d provenant du dispositif demonstrateur, via les moyens 
d ' interconnexion,* 

les moyens de^ ealciil des reponses D du dispositif temoin-caleulent les 
rdponses D k partir des defis d en appliquant le processus sp€eifi6 selon la 
revendication 9, 

• etape 4 : acte de contrdle 
les moyens de transmission du demonstrateur transmettent chaque reponse 
D au contrdleur 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens^^de^icomparaiaom -ci^apres- «desi(^^^^ les moyens de 
compataison duKdii^pp^ijafe^ontrdleuF,** 

cas ouile demonstBateuK^a ti^smisiunjei^paEtie^de Ghaq>U(e«.eiig^gejtnent R 
dans I>e«^asAotl lesi^ni&yens^de 'tranfSiindssion du«rdem®ns-tiiateur^ont transmis 
une partie de chaque engagement R;%les moyenst^de calcul du dispositif 
contr61e*ir,. disposaiSfr des- m val©UTS««pufel*quesHGi§..G2;^ ,. . Gi-„.caleulent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' s G, . Gj ... G„ . D'^ mod n 
ou a une relation du type, 

R' - DVG/^ G, ... G„ ^"^ . mod n , 
les moyens de comparaison du dispositif contrSleur comparent chaque 
engagement reconstruit R* ^ tout ou partie-de chaque engagement R regus, 
cas ou le demonstrateur a transmis Tintegralite de chaque engagement 
R 

dans le cas oil les^moyens^de-transmission du- demonstrateur ont transmis 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 




Gi, G2, •.. G„, verifient que chaque engagement R satisfait a une relation 
du type : 

R s Gi ^^ G2 ^. . . . G„ . mod n 

ou a une relation du type, 

R s b V Gi G2 . . . G„ • mod n 

11. Systeme selon la revendication 9 destine a prouver a une entite 
appelee control eur Tintegrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel quMl comporte 

- un dispositif demonstrateur associe a I'entite demonstrateur, ledit 
dispositif demonstrateur etant interconnects au dispositif temoin par des 
moyens d'interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

. un dispositif controleur associe a I'entite controleur ; ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant ; ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseaii de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 



• etape 2 : acte de defi d 
le dispositif demonstrateur comporte des moyens de -calcul, ci-apres 
designes les -moyens de caleul dtt>dispositif demonstoateur,. appliquant 
fonction de haehage h ayant comme arguments le messageispM et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
controleur, 

le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re9u le jeton T, les defis d en nombre igal au 
nombre d'engagements 

le dispositif eontii6l€Uf CQ.mf^|{e*au^sitdes;moy«ns?4e4tran^^^ 

designes les moyens^de^ transtfiiMssaion du. .dis|)Qsjit4fc tcoMrdleur, pour 

transmett<Fe les«d€fis^d aiiMdemeiits^tour,. 

• etape 3 : acte^^vipQns&iB 

les moy ens-de reception des-d^fi^d 4wd\ spositii temoinyTefei vent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 9, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au contr61eur, 

le dispositif contr61eur comporte aussi des moyens de caleul , ci-aprfes 
designes- -tes moyens de-^caleul^du-dispositif conU-aieXir, disposant des m 
valeurs publiques G„ G2, ... G„, pour d'une part, calculer a partir de 
chaque d6fi d et de chaque reponse D un engagement reconstruit R' 



satisfaisant a une relation du type : 

R' s Gi G2 G„ ^"^ . D'mod n 
ou a une relation du type : 

R' s DVGi . Gj^. ... G„ . mod n 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T% 

ie dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T re9u. 

12. Systeme selon la revendication 9 destine a produire la signature 
numerique d'un message M, ci apres designe le message signe, par une 
entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit systeme etant tel qu'il comporte un dispositif signataire associe a 
Tentite signataire, ledit dispositif signataire etant interconnecte au dispositif 
t^moin par des moyens d' interconnexion et pouvant se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 
• etape 1 : acte d'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calcul ent chaque engagement R en appliquant le processus specific 
selon la revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
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designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d 'interconnexion; 

• etape 2 : acte de d^fi d 

le dispositif signataire comporte des moyens de calcul, ci-?ipres design6s les 
moyens de calcul du dispositif signataire, appliquant une fonction d 
hachage h ayant corame arguments le message M et chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des defis d en 
nombre 6gal au nombre d'engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d , re9oivent chaque defi d provenant du 
dispositif signataiEe',.^yia les moyens d'inteneonnex-ionr . 
les moyens de calcul des reponses D du. dispositif«t6m.oin calculent les 
rdponses D k partir des-jdefis d en appliquant le processus specif i6 selon la 
revendiGation 9, 

le dispositif temoin comporte des^moyens de transmissiion, ci-apr^s 
desi gnes les moyens«des?transm'issionvduadisp©siti#«gm®ii% pour«itransme 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

13. Systfeme selon la revendication 11 destine a prouver 
Tauthenticite du message M en controlant, par une entite appelee 
contrSleur, le message signe; 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
I'entite controleur ; ledit dispositif controleur se presentant notamment sous 
la forme d'un terminal ou d'un serveur distant ; ledit dispositif contrdleur 
comportant des moyens de connexion pour le connecter electriquement, 
electromagn^tiquement, optiquement ou de maniere acoustiqup,. notamment 
via un res^u de eomrau-nication informatique, au dispositif demonstrateur ; 
ledit dispositif signataire associe h l'entit6 signataire comporte des moyens 
de transmission, ci-apres designes les moyens de transmission du dispositif 
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signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant: 
- le message M, 

- les defis d et/ou les engagements R, 

- les reponse D 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont k des 
relations du type 

R ^ Gi G2 ... G„, . mod n 

ou a des relations du type : 

R s DV Gi G2 ... G„ ^ . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h(M,R) 

• cas ou le controleur dispose des defis d et des reponses D 

dans le cas oii le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 




des relations du type : 

R' - G, . G^ ^\ ... G„ . mod n 

ou a des relations du type : 

R'^DVG,«.G2'"....G„-: modn 
5 • • les moyens de calcul et de comparaison du dispositif controleur 

verifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

dans le cas ou le dispositif contrdleur dispose des engagements R et des 
10 reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h(My.R) 

• • les moyens de caleul et de ^comparaison du dispositi-f controleur 
15 verifient que les.engagements«R, tes defis^d' et les r6p©nses-D, satisfont^ 

des relati®fis du-type : 

R s Gi "'^ . Gj ... G„ . D'^ mod«n 
ou a des relations du type : 

R^DVG,'''».G2''^...G„«'''". modn 

20 14. Systeme selon Tune quelconque des rev endi cations 9 a 13 tel que 

les composantes Qj, i , Qi,2 , ... Qj. r des valeurs privees Qj, sont des 
nombres tires au hasard a raison d'une composante Qij(Q|,j s Qimod Pj) 
pour chacun desdits facteurs premiers pj, lesdites valeurs privees Q, 
pouvant etre calculees a partir desdites composantes Qi, ^ , Q,^^ — Qi. r par 

25 la methode des restes chinois, 

lesdites-valeurs publiques Gj,* etant calcule^ 

• en effe'etiaant des ©p^ratioiK du type ■ 

Gya Qi /modpj 

• puis en appliquant la methode des restes chinois pour etablir Gj tel que 




G|. Qi"" s 1 . mod n ou G| s Qj^mod n ; 

15. Systeme selon la revendication 14 tel que Texposant public de 
verification v est un nombre premier, 

16. Systeme selon Tune quelconque des revendications 9 a 13 
ledit exposant v etant tel que 

v = 2'' 

ou k est un parametre de securite plus grand que 1 ; 

ladite valeur publique Gj etant le carre d'un nombre de base a inferieur 
aux f facteurs premiers pi, Pz^ — Pr ; nombre de base a etant tel que : 

les deux equations : 

x^sgimodn et x^s.gjmodn 
n'ont pas de solution en x dans Tanneau des entiers modulo n 
et tel que : 

Inequation ; 

x"" s mod n 

a des solutions en x dans I'anneau des entiers modulo n . 

17. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a dispositif controleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe a cette entit6, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, ... et publiques Gj, G2, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> Pf (f ^^^^^ superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 




Gj . Q,* s 1 . mod n ou Gj s Qj^mod n ; 
ledit dispositif terminal comprend un dispositif temoin-Gomportant une zone 
memoire contenant lest»f facteurs premier Piet/®u-des«paFametiies-des restes 
chinois'des facteurs premiers et/ou du module public n et/ou des«^^m valeurs 
privtes Qj et/ou des f.m composantes Qi, j (Qi,j s Q,mod.^Pj) des valeurs 
privies Q, et de 1 'exposam public v ; 
le dispositif t^moin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'al^as du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
I'anneau des entiers modulo n ; chaque engagement etant calcule en 
effectuant des operations du type 

Ri 'a Ti'mod Pi > 

ou r, est un alea'associe-au raombre-premier«ps 1 que 0 < r,< p, jjchaque r, 
appartenant a une collection d'aleas {r, , , ... Ffh produits par les moyens 
de production d'alfes, puis en appliquant la melih®de*descestes«ehinois ; 
le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des ddfis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D en effectuant des operations du type : 

Di ^ r, . Q,., « . ««. ... - mod p, 
puis, en appliquantla methodedes restes chinois ; 

- des moyens de transmission pour transmettre ^un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de d6fis d que d 'engagements R, chaque 




groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

18. Dispositif terminal selon la revendication 17 destine h prouver 
I'authenticite d'une entite appelee demonstrateur a une entity appel^e 
controleur ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a I'entite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire k microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, 61ectromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associ6 h I'entit^ contrSleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 
• ^tape 1 : acte d'engagement R 

- a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

- le dispositif t6moin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif t6moin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion ; 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
aprfes designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion. 
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• etape 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, re90ivent chaque 
defi d provenant du dispositif controleur via les-moyens de^connexion entre 
le dispositif controleur et ie dispositif d^monstrateur et-via'-. les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif tdmoin calculent les 
r6ponses D k partir des defis d en appliquant le processus sp6c\fi6 selon la 
revendication 17, 

• etape 4 ; acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui precede au controle. 

19. Dispositif terminakseloin^a revendieafeion 17 destine ^ prouver k 
une entite appelee eontr61eur rintegrite d'un message M .ass©ei6 a une 
entite appelee dernonstiateuriv. 

ledit disposi^f terminal 4tant"tel quia comporte un dispositif sd^monstrateur 
associ6 k I'entite demonstrateur, ledit dispositif demonstrateur 6tant 
interconnect^ au dispositif temoin%»pan«des m©yens d'interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif controleur associ6 k rentit6 contrSleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit-dispositif terminal permettant d'exeeuter les-etapes suivantes : 

• etape 1 : acte d*engagement R 
- k chaque appel, les moyens de calcul des engagements R du dispositif 




temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 17, 

- le dispositif temoin comporte des moyens de transmission, ci-apres 
d6signes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d'interconnexion ; 

• etape 2 et 3 : aete de defi d, acte de reponse 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif demonstrateur, appliquant 
fonction de hachage h ayant comme arguments le message M et tout ou 
partie de chaque engagement R pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre chaque jeton T , via les moyens de connexion, au dispositif au 
contr61eur, 

les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a parti r des defis d en appliquant le processus specifie selon la 
revendication 17, 

• etape 4 : acte de contrdle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

20. Dispositif terminal selon la revendication 17 destine a produire la 
signature numerique d'un message M, ci apres designe le message signe, 
par une entite appelee entite signataire, 
le message signe comprenant : 

- le message M, 
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^ feuiUc tectiftee 



- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal, etant tel qu'il comp0rte>,un,dispositi.fe:signataire 
associe a Tentite signataire, ledit dispositif signataire-^tant-ioterconnecte au 
dispositif't^moi'n par des moyens d'intereonnexion et pouvamt^ se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire k 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif contr0leur.ass©Gie a I'ent'ite controleur ; ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un seR'eur distant ; 

ledit dispositif terminal^penriettant d'ex^ei»ter4es^tapgs'«uivantes : 

• ^tape 1 : acte d 'engagement R ^ 

k chaque appel, les -moyens^^de-^ealeul des engag-tpefifes^R €u*disp©sitif 
temoin calculent chaque engagement R en appliquant le processus specific 
selon la revendication 17, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
d^signes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d'intereonnexion; 

• etape»2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul ;du dispositif signataire, appliquant une fonction d 
hachage h ayant comme arguments le message Mift chaque engagement R 
pour calculer un train binaire et extraire de ce train binaire des d6fis d en 
nombre egal au nombre d'engagements R, 




• etape 3 : acte de reponse D 
les moyens de reception des defis d re5oivent les defis d provenant du 
dispositif signataire, via les moyens d'interconnexion, 
les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specific selon la 
revendication 9, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

21. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a prouver a un serveur contrSleur, 

- Tauthenticite d'une entite et/ou 

- rintegrite d'un message M associe k cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Qi, Q2, Qm publiques G^, G2, ... 
Gm (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, P2, ... Pf (f etant superieur ou egal a 2), 

- un exposant public v ; 

ledit module, ledit exposant et lesdites valeurs etant lies par des relations du 
type : 

G|. Qi"" s 1 . mod n ou Gi s Q,^mod n ; 

ou Qi designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique Gi . 

22. Dispositif controleur selon la revendication 21 destine a prouver 
Tauthenticite d'une entite appelee demonstrateur a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
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connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acaustique, notamment via un reseau de -communication 
informatique, a un dispositif demonstrateur assoeie a Fentite demonstrateur; 
ledit dispositif controleur permettant d'executer les-etapes suivantes : 

• etape 1 et 2 f acte d'engagement R, acte de defi- 

ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 

le dispositif controleur comporte des moyens de productions de defis pour 
produire, apres avoir re^u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
m entiers dj , ci-apres appeles defis elementaires^^^ 

le dispositif controleur comporte-aussi^des moyens^e transmission, ci-apres 
designes les moyens de transmission du dispositif contrSleur, pour 
transmettre les rde^^std au-^demonstrateui^^via les-moyens^die^eonnexion, 

• etapesii3 et 4 :«acte de Feponsepacte de contrdle ^ 
le dispositif contrSieur comporte aussi*& 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partiig de chaque engagement R 

dans le cas oij les moyens de reception du dispositif controleur ont re9us 
une partie de chaque engagement R, les moyens de caleukdu dispositif 
controleur, disposant des m valeurs publiques Gi; G2, G,;;; calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 




s Gi G2 G„ • mod n 
ou a une relation du type, 

R' s DV Gi ^^ G2 ... G„ . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' k tout ou partie de chaque engagement R re9us, 
cas ou le demonstrateur a transmis Tintegralite de chaque engagement 
R 

dans le cas ou les moyens de reception du dispositif controleur ont re9us 
I'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
Gj, G2, ... G^, v6rifient que chaque engagement R satisfait a une relation 
du type : 

R s Gi ^^ G2 ... G„ . mod n 

ou a une relation du type, 

R s D V Gi G2 ^. . . . G„ . mod n . 

23. Dispositif controleur selon la revendication 21 destine a prouver 
rintegrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associe a Tentite demonstrateur; 
ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi 
ledit dispositif controleur comporte aussi des moyens de reception de jetons 
T provenant du demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte aussi des moyens de productions de defis 
pour produire, apres avoir re9u le jeton T, des defis d en nombre egal au 
nombre d'engagements R , chaque defi d comportant m entiers, ci-apres 
appeles les defis elementaires. 



le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif contToIeur, pour 
transmettre les defis d au dem©nstrateuri via les moyens- de eonnexion, 

• etapes 3 et 4 : acte^de reponse D, acte de contrdle 
le dispositif ©ontroleur comporte aussi 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 

le dispositif contrSleur comporte aussi 

- des moyens de calcul, ci-apr6s designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques G„ Gj, ... G„, 
pour d'une part, calculer a partir de chaque defi d et de chaque reponse D 
un engagement reGonstPuit R*^.satisfaisantia une relation du type : 

R%s G, . G2 ... G„ : D'^ mod n 
ou a une relation du4ype : • 

Rm Gt^ rG^. :.. G^ : mod n 
puis d'autre part, calculer en appjiquant^la fonction de-hachage h ayant 
comme arguments* le messa'ge»M '€t tout'^u partie -de^ chaque engagement 
reconstruit R', un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton T' au jeton T regu. 

24. Dispositif controleur selon la revendication 21 destine a prouver 
I'authenticite du message M en controlant, par une entite appelee 
controleur, le message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de haehage h #1, R) ; comprenant: 

- le message M, 

- les defis d et/ou les engagements R, 

- les rdponse D ; 
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ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associe a I'entite signataire ; 
ledit dispositif controleur ayant rcqu le message signe du dispositif 
signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les nioyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le controleur dispose des engagements R, des defls d, des 
reponses D, 

dans le cas oil le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 



• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 



• cas ou le contrSleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 



R s Gi G2 ... G„ . mod n 



ou a des relations du type : 



R = DV G/^ G2 ^. ... G« ^™ . mod n 



d = h(M,R) 



des relations du type : 

R' - G/^ G2 ^\ ... G„ . mod n 

ou a desiifj:elati©ns. du type 

R' ^ / G/^ G2 :.. . mod n 

• • les moyens de calcul et de comparaison du dis.posi$i.f contr61eur 
v^rifie que le message M et les defis d satisfont a la fonction de hachage 

d = h (M, R') 

• cas ou le contrdleur dispose des engagements R et des reponses D 
dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de ha©hagg|iit<©alcul«nt-d' tel que 

d' = h(M^^)3fe 

• • les moyAen&«de cateul .©t jde \eonjparaisonMdu*dispositd^^^ 
v6rifient-qye teS 'engase.pefite»R,^ies*def^^ ^ 
des relati«>ns3du «typ^^ 

ou k des relations du type : 

R ^ DV Gi . G2 "'K ... G„ . mod n 



